docker容器逃逸学习笔记

最新推荐文章于 2024-04-18 10:48:45 发布
最新推荐文章于 2024-04-18 10:48:45 发布
阅读量429 收藏 1
点赞数
文章标签: 学习 docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42511731/article/details/126290042
版权

Docker逃逸原理

因为Docker所使用的是隔离技术,就导致了容器内的进程无法看到外面的进程,但外面的进程可以看到里面,所以如果一个容器可以访问到外面的资源,甚至是获得了宿主主机的权限,这就叫做“Docker逃逸”。

目前产生Docker逃逸的原因总共有三种:

  1. 由内核漏洞引起。
  2. 由Docker软件设计引起。
  3. 由特权模式与配置不当引起。

接下来依次对这三种逃逸方法做简单说明。

01由于内核漏洞引起的逃逸

因为Docker是直接共享的宿主主机内核,所以当宿主主机的内核存在安全漏洞时会一并影响Docker的安全,导致可能会造成Docker逃逸。具体流程如下:

 ①使用内核漏洞进入内核上下文

 ②获取当前进程的task struct

 ③回溯task list 获取pid = 1的task struct,复制其相关数据

 ④切换当前namespace

 ⑤打开root shell,完成逃逸

02由于Doker软件设计引起的逃逸

比较典型的例子是Docker的标准化容器执行引擎----runc。Runc曾在2019年2月被爆出来过一个Docker逃逸漏洞CVE-2019-5736。其漏洞原理是,Docker、Containerd或其他基于runc的容易在运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作获取到宿主机runc执行文件时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限,造成Docker逃逸。

03由于特权模式+目录挂载引起的逃逸

这一种逃逸方法较其他两种来说用的更多。特权模式在6.0版本的时候被引入Docker,其核心作用是允许容器内的root拥有外部物理机的root权限,而此前在容器内的root用户只有外部物理机普通用户的权限。

使用特权模式启动容器后(docker run --privileged),Docker容器被允许可以访问主机上的所有设备、可以获取大量设备文件的访问权限、并可以执行mount命令进行挂载。

当控制使用特权模式的容器时,Docker管理员可通过mount命令将外部宿主机磁盘设备挂载进容器内部,获取对整个宿主机的文件读写权限,此外还可以通过写入计划任务等方式在宿主机执行命令。

除了使用特权模式启动Docker会引起Docker逃逸外,使用功能机制也会造成Docker逃逸。Linux内核自版本2.2引入了功能机制(Capabilities),打破了UNIX/LINUX操作系统中超级用户与普通用户的概念,允许普通用户执行超级用户权限方能运行的命令。例如当容器以--cap-add=SYSADMIN启动,Container进程就被允许执行mount、umount等一系列系统管理命令,如果攻击者此时再将外部设备目录挂载在容器中就会发生Docker逃逸。

aj998
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker】小技巧:在宿主机器上直接查看docker容器的进程
weixin_34123613的博客
06-10 5238
最近看了这篇文章:Understanding how uid and gid work in Docker containers,了解到: docker容器内的一个进程对应于宿主机器上的一个进程。 容器内的进程,与相对应的宿主进程,由相同的uid、gid拥有。也就是说,如果在容器内主进程属于用户uid=1000,那么这个容器进程在宿主...
Linux 技术应用实践-调用宿主机命令检查docker容器网络、进程状态
m0_67645544的博客
06-14 821
最近偶然听了几堂极客时间的云原生免费公开课程,首次接触到了Linux namespace技术,并了解到这正是现在风头正劲的容器技术基石,引起了自己探究一二的兴趣,结合课程+网络搜索+实践操作,也算有了一些初步的了解,这里记录、总结一些学习过程。namespace技术网上的介绍已经很多了,这里不做过多赘述,简单总结namespace是Linux 内核提供的支持内核资源隔离的关键技术,目前包含以下7类namespace: Namespace 变量 隔离资源 Cgroup CLONE_NEWCGROUP Cgro
狂神Docker学习笔记.pdf
03-10
学习docker时看到的学习笔记
Docker逃逸原理
11-06
Docker有6大Namespace,PPT中分析了6个Namespace的基本原理和最终逃逸原理
Docker容器逃逸-特权模式-危险挂载-Procfs
最新发布
XXokok的博客
04-18 795
Docker容器逃逸-特权模式-危险挂载-Procfs
k8s之容器的本质
Crazy博客
08-16 370
使用NameSpace技术来修改进程视图,创建出独立的文件系统、主机名、进程号、网络等资源空间,再使用Cgroups来实现对进程的 CPU、内存等资源的优先级和配额限制,最后使用chroot更改进程的根目录,也就是限制访问文件系统。...
docekr逃逸原理初学
weixin_45540609的博客
08-10 211
一、docker原理 Docker是一种容器容器的官方定义是:将软件打包成标准化单元、以用于开发、交付和部署。容器的特点在于格式统一,运行速度快,所需资源小,并且可以层层重叠。 二、环境判断 判断是否是docker环境,有两种方法 1、是否存在.dockerenv文件 docker环境下存在:ls -alh /.dockerenv 文件,非docker环境没有该文件 2、查询系统进程的cgroup信息 docker环境下 cat /proc/1/cgroup有信息输出,非docker环境下没
容器内的进程能否在容器外查看
漫步量化
03-30 2649
问题描述 进入容器后,无法在容器内查看进程启动情况,那能在容器外查看容器内部的进程情况么? 解决方案 1.docker容器内的一个进程对应于宿主机器上的一个进程 2.容器内的进程,与相对应的宿主进程,由相同的uid、gid拥有。也就是说,如果在容器内主进程属于用户uid=1000,那么这个容器进程在宿主机器上也属于用户uid=1000。容器内的用户uid=1000就是容器外的用户uid=...
容器外观察容器内的进程
zhzsdiligence的博客
11-05 595
可以通过用户名观察 容器内运行程序的用户的UID, 会与容器外主机UID的用户对应,在主机top查看进程时,就可以看到容器内现在都有谁在运行程序。 问题:如果主机/etc/passwd中,没有对应的UID用户会怎么显示。 一开始,产生了极其错误的想法:先在主机上创建一个使用容器的普通用户,假设为zhangsan. UID为1000。 由于登录容器的用户是root, 把容器内/etc/passwd中的root的UID修改为1000. 这样当容器内运行程序时,主机的top会显示User为张三。 但是修
docker 容器原理分析笔记(上)
m0_57781768的博客
11-28 393
的设计还是比较易用的,简单粗暴地理解呢,它就是一个子系统目录加上一组资源限制文件的组合。Docker 容器启动的进程还是在宿主机中运行的,和宿主机中其他运行的进程是没有区别的,只是 docker 容器会给这些进程,添加各种各样的 Namespace 参数,使这些进程和宿主机中的其它进程隔离开来,感知不到有其它进程的存在。容器中启动的进程,还是在宿主机中运行的,只是 docker 容器会给这些进程,添加各种各样的 Namespace 参数,使这些进程和宿主机中的其它进程隔离开来,感知不到有其它进程的存在。
docker实践入门之一
猛禽的编程艺术
04-14 7088
前戏……呃,前言docker是什么?docker是一种容器技术,它的主要功能就是能够让进程在一个隔离的容器环境里运行——在进程看来,它有一整套“独立”的OS环境,包括文件系统,类似于虚拟机。docker不是什么?docker 不是虚拟机,它只是一套虚拟运行环境,实际上在host机上用ps可以看到容器里面的进程。实际上docker里用到的环境都是来自于host机,只是相 对隔离而已,类似于pytho
Docker容器技术笔记
04-19
Docker 容器技术笔记 Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用程序以及依赖包到一个可移植的镜像中,然后发布到任何流行的 Linux 或 Windows 操作系统的机器上。容器是完全使用沙箱机制,相互...
狂神说Docker容器学习笔记全部.pdf
12-22
狂神说Docker容器学习笔记
docker学习笔记.pdf
10-15
docker学习笔记学习docker时做的学习笔记,有例子
docker学习思维笔记.xmind
06-19
docker 介绍 架构 安装 组成 命令 帮助命令 ... docker commit -m="" -a="作者" 容器id 目标镜像名称:[标签名] 网络 单机 多机 Dockerfile介绍 是什么 执行流程 关键字 数据卷 容器
docker逃逸
leeham的博客
08-25 4542
Docker逃逸 本文主要内容为:总结如何利用DirtyCow漏洞实现Docker逃逸的过程 Docker相关 Docker-从入门到实践 逃逸过程实现 还没给你的Docker打上脏牛补丁?坏消息来了 本人是在虚拟机中安装了具有dirtyCow漏洞的Ubuntu系统镜像;然后在该系统中安装Docker;接着下载现有的payload(exploit)代码,弄懂之后编译运行提权;实...
【避坑】宿主机能直接查看并杀死容器中进程(与--security-opt seccomp和--privileged参数没有关系)特权容器(secure computing mode)安全机制
Dontla的博客
06-27 252
这种行为是因为容器技术使用了Linux的命名空间(namespace)特性,将容器内部的进程隔离到一个独立的命名空间中,但这个命名空间与宿主机共享同一个进程表。因此,宿主机上的进程管理工具(如ps命令)可以看到容器内部的进程,并且可以使用宿主机上的工具来操作容器内部的进程,比如杀死进程。禁用seccomp可能会增加容器的风险,因为容器中的进程可以执行更多的系统调用,包括一些与进程管理相关的系统调用。参数,可以禁用容器中的seccomp安全机制,使得容器中的进程可以执行更多的系统调用。
生命在于学习——docker逃逸
易水哲的博客
12-02 4574
docker逃逸就是从当前docker容器权限中逃逸出来,获得宿主机的权限。
Docker 底层原理浅析
腾讯技术工程
11-04 2414
作者:vitovzhong,腾讯 TEG 应用开发工程师容器的实质是进程,与宿主机上的其他进程是共用一个内核,但与直接在宿主机执行的进程不同,容器进程运行在属于自己的独立的命名空间。命名...
docker容器学习
07-29
学习 Docker 可以让你更好地理解容器化技术,并且在开发和部署应用程序时提供更高的灵活性和可移植性。 以下是一些学习 Docker 的步骤: 1. 安装 Docker:首先,你需要安装 DockerDocker 提供了适用于不同操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值