chroot
私はDockerセキュリティについて学び始め、最新のコンテナ技術の基礎を形成するcgroup、名前空間、および機能を紹介しました。
/proc
歴史的に、読み取り/書き込みなどにより、ユーザー空間でネームスペースを認識できないカーネル部分を乱用し、多くのコンテナの脆弱性が悪用されていますmodprobe
。
名前空間の概念はよく知っていますが、ユーザーの名前空間の代わりにルート名前空間でコードを実行できるように、名前空間の境界がいつ適用を停止するのかわかりません。
ベストアンサー1
脆弱性ですが、言及したタイプではありません。
任意のDockerコンテナを作成して実行できるユーザーは、ホストファイルシステムのマップされた部分を使用してコンテナを作成できます。その後、コンテナからrootとして実行して、ディスク上にsetuid rootプログラムを作成できます。その後、ホストでこのコマンドを実行してroot権限を取得できます。