Docker作为root用户运行时的安全性

Question

码头博客帖子表示：

默认情况下，Docker容器非常安全；特别是如果您以非特权用户(即非root用户)的身份在容器中运行进程的话。“

那么，如果我作为根用户在码头下运行，那么安全性问题是什么呢？我的意思是，如果我以非特权用户的身份处理我的进程，这是相当安全的，那么，作为根用户在容器中主机怎么可能有害呢？我只是想让它理解它，如果它作为根用户运行时不安全，它怎么能被隔离呢？那么哪个系统调用可以公开主机系统呢？

Answer 1

当您以root身份运行时，您可以访问范围更广的内核服务。例如，您可以：

• 操作网络接口，路由表，网络过滤规则；
• 创建原始套接字(一般来说，“外来的”套接字，执行的代码比好的旧TCP和UDP受到更少的审查)；
• 挂载/卸载/重新装入文件系统；
• 更改文件所有权、权限、扩展属性、重写常规权限(即使用略有不同的代码路径)；
• 等。

(值得注意的是，所有这些示例都受功能保护。)

关键是，作为root，您可以执行更多的内核代码；如果代码中存在漏洞，则可以将其作为root触发，而不是作为常规用户触发。

另外，如果有人找到了突破容器的方法，显然，如果你以根用户的身份出现，你会比普通用户造成更多的破坏。

Answer 2

您可以通过在码头上回显/proc/sysrq-trigger来重新启动主机。以root用户身份运行的进程可以做到这一点。

这似乎是一个很好的理由，不把进程作为根进程运行在坞中;)