假设现有一个容器已经部署完成并且在运行,该容器的启动参数如下
docker run dit -v /root/con1:/data -p 980:80 -p 9443:443/udp --hostname xiaoqiang maintainer:images:latest
该容器是否有对外部操作的可能(包括读写外部文件、操作外部设备等)?
Ps:Docker 是否有办法对容器执行白名单防火墙(仅放行白名单中的域名 /IP )?
This topic created in 1556 days ago, the information mentioned may be changed or developed.
3 replies • 2022-02-20 15:39:55 +08:00
 |
1
Explr Feb 20, 2022 via Android
如果不考虑 Docker 漏洞造成的容器逃逸,攻击者还可以渗透你容器中的服务,再用其作为跳板渗透你的宿主机。
防火墙的问题我以前也问过,可以试试写 iptables 。 |
 |
3
Jacky23333 Feb 20, 2022
很明显有呀,你都挂载(bind mount)了一个宿主机的'/root/con1'文件夹到容器中,那容器自然可以自由的读写宿主机这个文件夹呀
|
Select Language