GNOME-Boxで実行されている悪意のあるドッカーイメージがホストを損傷する可能性がありますか？

Question

--privilegedフラグ（他のフラグの中で）を使用してDockerコンテナを実行すると、最も有害なものは何ですか？

--privilegedコンテナがルートとして実行されていることを示します。これは、コンテナが望むものは何でもできることを意味します。コンテナの root ユーザーはシステム全体の root ユーザーです。devfsSSDを含むどこにでもインストールできます。すべてのRAMを読んだり、NVIDIAドライバをインストールしたり、ディープフェイクポルノをダウンロードしたりすることができます。

しかし、これは単なるコンテナです。~へあなたの質問を正しく理解したら、あなたの仮想マシンです。仮想マシンの境界は実際には境界です（単にオプションの名前空間の境界ではありません）。特徴コア）克服するのは難しいです。結局、これは家主と何を共有するかによって異なります。ただし、たとえば、ホストとVMがCPUコアを共有し（おそらくそうです！）、メモリキャッシュを共有すると、ホストは内部VM SPECTERスタイル攻撃に対して脆弱です（同時に、小規模なx86_64システムでも可能です）。 VM主な理由）ハイパースケールプロセッサは2つのコアを提供します。これはハードウェアの最小単位です（その他のキャッシュは共有されません）。もちろん、3D Acceleration Guestを介してGPUメモリを共有している場合、ハンマリングされたページがクライアント内にある可能性が高い場合でも、Rowhammerはまだ機能します。（GPUとそのドライバはこの点で特に迷惑です。一部のコンソールはまさにこのメカニズムで脱獄されます。加速されたゲストはGPUのDMAエンジンを介してメモリの断片化を避けることができます。）

しかし、最終的にこれらすべてが効果的に使用される可能性はほとんどありません。私はハードウェアのバグをVM分離のブレーカーとして認識したことがあります。だからあなたは安全です。

Answer 1

--privilegedフラグ（他のフラグの中で）を使用してDockerコンテナを実行すると、最も有害なものは何ですか？

--privilegedコンテナがルートとして実行されていることを示します。これは、コンテナが望むものは何でもできることを意味します。コンテナの root ユーザーはシステム全体の root ユーザーです。devfsSSDを含むどこにでもインストールできます。すべてのRAMを読んだり、NVIDIAドライバをインストールしたり、ディープフェイクポルノをダウンロードしたりすることができます。

しかし、これは単なるコンテナです。~へあなたの質問を正しく理解したら、あなたの仮想マシンです。仮想マシンの境界は実際には境界です（単にオプションの名前空間の境界ではありません）。特徴コア）克服するのは難しいです。結局、これは家主と何を共有するかによって異なります。ただし、たとえば、ホストとVMがCPUコアを共有し（おそらくそうです！）、メモリキャッシュを共有すると、ホストは内部VM SPECTERスタイル攻撃に対して脆弱です（同時に、小規模なx86_64システムでも可能です）。 VM主な理由）ハイパースケールプロセッサは2つのコアを提供します。これはハードウェアの最小単位です（その他のキャッシュは共有されません）。もちろん、3D Acceleration Guestを介してGPUメモリを共有している場合、ハンマリングされたページがクライアント内にある可能性が高い場合でも、Rowhammerはまだ機能します。（GPUとそのドライバはこの点で特に迷惑です。一部のコンソールはまさにこのメカニズムで脱獄されます。加速されたゲストはGPUのDMAエンジンを介してメモリの断片化を避けることができます。）

しかし、最終的にこれらすべてが効果的に使用される可能性はほとんどありません。私はハードウェアのバグをVM分離のブレーカーとして認識したことがあります。だからあなたは安全です。

GNOME-Boxで実行されている悪意のあるドッカーイメージがホストを損傷する可能性がありますか？

ベストアンサー1

おすすめ記事