Runc容器逃逸

最新推荐文章于 2024-06-18 13:31:09 发布
最新推荐文章于 2024-06-18 13:31:09 发布
阅读量289 收藏 1
点赞数 1
分类专栏: 容器 文章标签: golang linux centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tongsheng_li/article/details/121650339
版权

容器隔离机制

Linux通过namespace将不同的资源隔离,就像一个沙箱一样。被隔离到某个namespace中的内容,无法访问到其它namespace的内容。可以通过unshareclone设置标志位来将进程放入新的命名空间。

  • PID Namespace

标志位: CLONE_NEWPID

文档: man pid_namespaces

在linux上执行man pid_namespaces可以查看对应的命令文档。部分截图如下:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FIVyYCkN-1638326763884)(../../images/image-20211117140815503.png)]

进程命名空间,在一个隔离的空间中,PID从1开始,相同PID与主机PID不构成冲突。类似主机的init进程,PID为1的进程被终止时,该命名空间下的所有进程都会收到SIGKILL信号从而被终止。正因如此,一个容器的初始化进程只能是一个,而且终止后容器也就被停止了。

在不同的PID命名空间,进程互相看不到对方,不能通过PID找到对方,/proc目录下也只能看到自己命名空间中的进程。但是一个父进程fork出的子进程可以通过set_ns放入子命名空间,在父进程的命名空间,仍然可以看到这个子进程,只是PID不一样。进程可以被挪到子命名空间,但不能被反向挪回更高级的命名空间。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gK4bl69O-1638326763886)(../../images/image-20211117141714226.png)]

  • User Namespace

标志位: CLONE_NEWUSER

文档: man user_namespaces

用户命名空间,主要隔离的是安全相关的id和属性,尤其是用户id和用户组id,root目录,密钥,以及各种进程的能力(capabilities)。

在linux上执行man user_namespaces可以查看对应的命令文档。部分截图如下:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EeZtVFyu-1638326763886)(../../images/image-20211117142028484.png)]

  • Network Namespace

标志位:

最低0.47元/天 解锁文章
Tongsheng_li
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学习容器你不能错过核心技术runC和Libcontainer
03-14 2705
Libcontainer是一个开源的Linux容器管理库,它是由Docker团队开发的,用于支持Docker容器引擎的底层。Libcontainer提供了一个接口,使得应用程序可以直接访问Linux内核中的容器相关功能,例如命名空间、控制组、文件系统等。而命名空间(通过Linux Namespace)、控制组(Cgroups)、文件系统(rootfs)正是实现容器的核心。
Runc容器运行过程及容器逃逸原理
绝对防御局的博客
02-21 1630
在每一个Kubernetes节点中,运行着kubelet,负责为Pod创建销毁容器,kubelet预定义了API接口,通过GRPC从指定的位置调用特定的API进行相关操作。而这些CRI的实现者,如cri-o, containerd等,通过调用runc创建出容器。runc功能相对单一,即针对特定的配置,构建出容器运行指定进程,它不能直接用来构建镜像,kubernetes依赖的如cri-o这类CRI,在runc基础上增加了通过API管理镜像,容器等功能。 Kubelet,Cri-O,runcLinux大致层
docker逃逸方法汇总与简要分析
最新发布
白帽黑客鹏哥的博客
06-18 935
Docker Remote API 是一个取代远程命令行界面(rcli)的REST API,它允许用户通过RESTful API与Docker引擎进行交互,这意味着开发人员可以使用HTTP请求来远程管理和控制Docker引擎,包括创建、启动、停止和删除容器,构建和管理镜像,以及执行其他与Docker相关的操作。
Kubernetes攻防 | 容器逃逸 - Docker in Docker
Trollz的博客
03-15 469
Kubernetes attack and defense | container escape - Docker in Docker
通过Runc来启动容器
屈帅波的技术博客
03-24 2664
一 Runc与docker的关系 runC 它是用来运行容器的一个轻量级工具。被称为运行容器的运行时,它负责利用符合标准的文件OCI(Open Container Initiative)标准等资源运行容器 譬如当我们执行docker run alpine sh的时候。 1、 到了shim环节后,shim启动runc 2、runC负责找到alpine这个镜像文件中的sh程序并运行 3、交给它的父进程shim 接管 sh 这个进程 支持Linux namespace; 对Linux中可用的所有安全功能的本地
容器运行时-转载】RunC 是什么?
叮当猫的喵i
03-06 990
RunC 作为标准化容器运行时的一个实现目前已经被 docker 内置为默认的容器运行时。相信随着 runC 自身的成熟和完善会有越来越多的大厂把 runC 作为默认的容器运行时。OCI和runc容器标准化和dockerOCI标准和runC原理解读。
开源项目-google-gvisor.zip
09-10
2. **防止逃逸**:由于容器不再直接与宿主机内核交互,攻击者更难实现容器逃逸,即从容器内部突破到宿主机。 3. **兼容性**:尽管运行在用户空间,GVisor 尽可能保持与标准 Linux 兼容,使得大部分基于 Linux 的应用...
exploit:exp用于有用的外伤
03-09
首先,"docker runc逃逸"涉及到的是Docker容器的安全性。Docker Runc是Docker运行时的一部分,用于创建和管理容器。如果存在漏洞,攻击者可能能够从容器内部逃脱到主机系统,获取对主机的完全控制。这通常需要深入...
容器运行时runc
weixin_50071922的博客
06-20 259
Docker引擎——详解 docker开始发布时:有两个核心组件:LXC 和 docker daemon Docker daemon 是一个单一的二进制文件,包含:Docker客户端、Docker API、容器运行时、镜像构建等 LXC提供了命名空间(Namespace)和控制组(CGrouop)等基础工具的操作能力。 摆脱LXC Docker公司开发了Libcontainer的自研工具,来代替LXC LIBcontainer可基于不同内核为Docker上层提供必要的容器交互工具。 在docke
Kubernetes攻防 | 容器逃逸 - 创建cgroup
Trollz的博客
03-15 603
Kubernetes attack and defense | container escape - create cgroup
runc系列(1)——如何理解runc的存在及其定义?
weixin_43860783的博客
01-29 2619
对runc工具的最基本介绍,希望有助于大家理解runc的工作方式,后续文章将会进一步对runc进行剖析
runc —— 从入门到放弃
Take Easy,Work Hard!
09-24 4658
本文以分析OCI Runtime Spec为主,过程中使用runc容器方案加以举例,希望在理解OCI规范之后,能够更加轻松地理解runc的命令行接口与设计原则。
Runc简介一
Tongsheng_li的博客
12-01 1691
Open Container Initiative(OCI) 开放容器计划: OCI 标准包含 运行时标准 和 镜像标准 两个部分,而 OCI 这个组织则是由 Docker, CoreOS 和其他的一些公司共同发起创建的,致力于将容器运行时和格式标准化。 即:凡是遵守此标准的实现,无论是 Docker 还是 rkt 或者其他的运行时实现,均可以通过标准的镜像启动容器。 Runc: runc 则是在 OCI 成立后,Docker 将其容器运行时 libcontainer 贡献出来后,并加以改造而成的,是Doc
runc原理概述
qq_33339479的博客
12-24 4024
runc runc作为容器的运行时,现在作为独立的项目来进行发展,runc提供一套简单的容器运行环境,包括进程的命名空间、cgroups和文件系统权限等管理的功能,runc是基于oci标准的产物,可以让大家都通过统一的接口来进行运行时的操作。其本质的管理工作也是最主要的几个重要的函数clone,unshare和setns等重要的操作函数。 runc原理流程 runc作为运行时,即在提供了挂载目录、运行权限等运行参数的情况下将容器启动运行,真正的作为一个运行管理的工具使用,一些例如镜像、日志配置等待交互清理功
红队视角下的容器逃逸利用及分析
ATpiu的博客
06-18 2059
容器逃逸/红队视角下的容器逃逸利用及分析
RunC漏洞导致容器逃逸(CVE-2021-30465)
Ms08067安全实验室
01-06 1847
文章来源|MS08067 红队攻防班本文作者:BLACK(红队攻防班讲师)场景介绍runC是⼀个CLI⼯具,⽤于根据OCI规范⽣成和运⾏容器,该⼯具被⼴泛的应⽤于各种虚拟化环境中,如Kub...
探索 runC (上)
weixin_34318272的博客
12-27 507
前言 容器运行时(Container Runtime)是指管理容器容器镜像的软件。当前业内比较有名的有docker,rkt等。如果不同的运行时只能支持各自的容器,那么显然不利于整个容器技术的发展。于是在2015年6月,由Docker以及其他容器领域的领导者共同建立了围绕容器格式和运行时的开放的工业化标准,即Open Container ...
docker run 指定容器启动命令
12-07
可以使用docker run命令的参数来指定容器启动命令。具体方法如下: ```shell docker run [OPTIONS] IMAGE [COMMAND] [ARG...] ``` 其中,OPTIONS是可选的参数,IMAGE是要启动的镜像名称,COMMAND是要在容器中执行的命令,ARG是命令的参数。如果不指定COMMAND和ARG,则会使用镜像默认的启动命令。 举个例子,如果要在容器中执行echo命令,可以使用以下命令: ```shell docker run ubuntu echo "Hello World" ``` 这个命令会启动一个ubuntu镜像的容器,并在容器中执行echo "Hello World"命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值