突破 docker 容器

突破 docker 容器

允许用户运行docker和挂载他有权访问的文件是否存在安全风险?

我们拥有所有用户主目录所在的共享网络挂载,并且我们基本上不希望user1谁的主目录能够/app/mount/user1/以某种方式访问/app/mount/user2/​​ .

答案1

https://docs.docker.com/articles/security/:

“该守护进程当前需要 root 权限,因此您应该了解一些重要的细节。

首先,只有受信任的用户才有权控制您的 Docker 守护进程。这是一些强大的 Docker 功能的直接结果。具体来说,Docker 允许您在 Docker 主机和来宾容器之间共享目录;它允许您在不限制容器访问权限的情况下执行此操作。”

相关内容