Просветите, может ли процесс выбраться из Docker

0

3

допустим есть машина, в ней запущен Docker и в нем под рутом процесс (хоть ssh который юзают все анонимусы мира). Вот может ли «злоумышленник» выбратсья из докера наружу в реальную машину (как я понял это зовется «breakout»).

Ссылка

←	Пишем сообщения прям в память физ. сервера.

Нефкурил о нужности dh1024.pem в OpenVPN

→

https://docs.docker.com/articles/security/

Какбе не может, но афторы еще сами не уверены что lxc+docker готовы для ынтырпрайза, так что все может быть. Я помню находили две или три дыры, которые теоретически могли позволить выйти из изоляции.

~~entefeed~~ ☆☆☆
(05.02.15 15:46:04 MSK)

Ссылка

Не должен.

deterok ★★★★★
(05.02.15 15:50:28 MSK)

Ссылка

Может, но вряд ли на практике ты с этим столкнешься

dvrts ★★★
(05.02.15 16:17:56 MSK)

Ссылка

...они оба могут... (C)

anonymous
(05.02.15 16:51:02 MSK)

Ссылка

Теоретически это вполне реально, как и побег из виртуальной машины.

Первая ссылка из гугл http://blog.docker.com/2014/06/docker-container-breakout-proof-of-concept-exploit/

Цитата от туда:

We want to emphasize that this vulnerability only applies to users who are running Docker Engine in a non-recommended way by running untrusted applications with root privileges inside containers.

Просто необходимо применять рекомендации по безопасности как для контейнера, так и для хостовой системы, в том числе избегать запуска процессов из под root.

jfspec
(12.02.15 15:02:57 MSK)