U米pos机人工售后电话是多少
如果您在用机器地时候,
遇到任何难题都不要慌张,
可立即找下方客服咨询,帮您解决。
可以得知,Linux内核先天的隔离性不足,尽管目前namespace已经提供了非常多的资源隔离类型如用户、进程、网络、挂载等,但除namespace外其它内核资源并未隔离或隔离不充分,其中包括一些系统关键性目录,攻击者可借助这些关键目录的敏感信息对宿主机发起攻击,使得容器逃逸到宿主机。
特权模式在6.0版本的时候被引入Docker,其核心作用是允许容器内的root拥有宿主机的root权限。使用特权模式启动容器后,Docker容器被允许访问宿主机上的所有设备、可以获取大量设备文件的访问权限、可以执行挂载操作。当Docker管理员将宿主机磁盘设备挂载进容器内部,即可获取对整个宿主机的文件读写权限,也可以通过写入计划任务等方式在宿主机执行命令,成功逃逸。
Linux内核自版本2.2引入了Capabilities机制,将传统的root用户的特权划分为30+个不同的单元,进行精细化管理。但如果Capabilities设置不正确,就会让攻击者有机可乘,实现权限提升。例如当容器以SYSADMIN启动,容器进程就被允许执行挂载等系统管理命令,如果攻击者此时再将外部设备目录挂载在容器中就会发生Docker逃逸。可见,Capabilities控制不当同样会引入容器逃逸,当前业界已识别SYSADMIN、DAC_READ_SEARCH、SYS_MODULE、SYS_PTRACE引入了逃逸漏洞。
3、基于业务的容器逃逸场景分析
通过对业界容器安全CVE漏洞的深入研究,产品业务场景中运行态的容器安全问题存在于多个薄弱环节,容器逃逸主要分布在应用层、服务层和系统层。
图5 产品业务场景中识别的容器逃逸场景
应用层的逃逸,主要体现在特权模式与配置不当,如利用特权模式逃逸、借助Capabilities逃逸。为了方便容器与宿主机进行数据交换,几乎所有主流的解决方案都会提供挂载宿主机目录到容器的功能,由此而来的容器逃逸问题也呈上升趋势,当容器以读写形式挂载宿主机上的敏感文件如docker.sock时,从容器中逃逸出去易如反掌,手段也多种多样。再如攻击者借助容器的CAP_DAC_READ_SEARCH权限,采用著名的Shocker攻击方式,可在容器内逃逸读取到宿主机的shadow文件。
留言评论
暂无留言