docker实例是否会对主机造成危害?

docker主机是否完全受到docker实例可以做的任何事情的保护?

只要你不向docker实例公开一个卷,是否有其他的方式可以实际连接到主机,并“黑客”呢?

例如,假设我允许客户在运行的服务器中运行代码。 我想了解允许客户在Docker实例中运行任意代码的潜在安全隐患。

Docker内的所有进程都与主机隔离。 不能默认看到或干扰其他进程。 这是由docker使用的进程命名空间的保证。

只要你不把关键的东西(例如: docker.sock )挂载到容器上,运行一个容器就没有安全风险,甚至允许在容器中执行代码。

有关docker安全性function的列表,请检查Docker安全性 。

内核在主机和docker容器之间共享。 这比虚拟机所说的分离更less。

运行任何不受信任的容器是不安全的。 存在内核漏洞,可能会被滥用,以及突破容器的方式。

这就是为什么最好的做法,例如不要在容器中使用root用户,或者为容器提供单独的用户名称空间。

Interesting Posts

Linux Docker中的SQL Server实例string连接

如何保持docker引擎群模式下的会话粘性/持久性?

Docker加载命令将replace现有的具有相同名称的图像

如何使容器在ECS中相互通信而无需链接和端口映射?

Webdriverexception:“chrome not reachable”

AWS Mesosphere:docker守护进程的参数

如何将docker命令发送到另一台机器上的容器?

Docker java.lang.RuntimeException当试图build立错误

Docker将容器推送到私有registry

将docker卷挂载到windows主机