云原生攻防3(Docker常见攻击方式)
Docker常见攻击方式
Docker安全基础
攻击模型
-
应用攻击容器,常规漏洞打进来就是容器
-
容器攻击其它容器,在容器中进行横向渗透
-
容器攻击宿主机,这种属于逃逸
-
主机攻击容器,本机、或其它主机
Control Group
命名空间用于隔离,那么控制组就是用于限额。
容器之间是互相隔离的,但却共享OS资源,比如CPU、RAM以及IO。CGroup允许用户设置限制,这样单个容器就不能占用主机的CPU、RAM等资源了。
Capability
以root身份运行容器不是很安全,root拥有全部的权限,因此很危险,如果以非root身份运行容器那么将处处受限,所以需要一种技术,能选择容器运行所需的root用户权限。
在底层,Linux root由许多能力组成,包括以下几点:
-
C