Docker --privileged
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Bir konteyneri yetkili olarak çalıştırdığınızda devre dışı bıraktığınız korumalar şunlardır:
Yetkili bir konteynerde, tüm cihazlar /dev/
içinde erişilebilir. Bu nedenle, diskin ana makineye mount edilmesiyle kaçabilirsiniz.
Çekirdek dosya sistemleri, bir sürecin çekirdeğin davranışını değiştirmesi için bir mekanizma sağlar. Ancak, konteyner süreçleri söz konusu olduğunda, onların çekirdekte herhangi bir değişiklik yapmalarını önlemek istiyoruz. Bu nedenle, çekirdek dosya sistemlerini konteyner içinde sadece okunur olarak monte ediyoruz, böylece konteyner süreçleri çekirdeği değiştiremez.
/proc dosya sistemi seçici olarak yazılabilir, ancak güvenlik için, belirli kısımlar tmpfs ile örtülerek yazma ve okuma erişiminden korunur, böylece konteyner süreçleri hassas alanlara erişemez.
tmpfs, tüm dosyaları sanal bellekte depolayan bir dosya sistemidir. tmpfs, sabit diskinizde herhangi bir dosya oluşturmaz. Bu nedenle, bir tmpfs dosya sistemini ayırırsanız, içinde bulunan tüm dosyalar sonsuza dek kaybolur.
Konteyner motorları, konteynerin içinde neler olacağını kontrol etmek için konteynerleri sınırlı sayıda yetenekle başlatır. Ayrıcalıklı olanlar tüm yeteneklere erişime sahiptir. Yetenekler hakkında bilgi edinmek için okuyun:
Bir konteyner için mevcut yetenekleri --privileged
modunda çalışmadan --cap-add
ve --cap-drop
bayraklarını kullanarak manipüle edebilirsiniz.
Seccomp, bir konteynerin çağırabileceği syscall'ları sınırlamak için faydalıdır. Docker konteynerleri çalıştırıldığında varsayılan bir seccomp profili etkinleştirilir, ancak ayrıcalıklı modda devre dışı bırakılır. Seccomp hakkında daha fazla bilgi edinin:
Ayrıca, Kubernetes kümesinde Docker (veya diğer CRI'ler) kullanıldığında, seccomp filtresi varsayılan olarak devre dışıdır.
AppArmor, kapsayıcıları sınırlı bir kaynak setine per-program profilleri ile sınırlamak için bir çekirdek geliştirmesidir. --privileged
bayrağı ile çalıştığınızda, bu koruma devre dışı bırakılır.
--privileged
bayrağı ile bir konteyner çalıştırmak SELinux etiketlerini devre dışı bırakır ve konteyner motorunun etiketini, genellikle unconfined
, miras almasına neden olur; bu da konteyner motoruna benzer şekilde tam erişim sağlar. Rootless modda container_runtime_t
kullanılırken, root modda spc_t
uygulanır.
Ad alanları --privileged
bayrağından ETKİLENMEZ. Güvenlik kısıtlamaları etkin olmasa da, örneğin sistemdeki veya ana ağdaki tüm süreçleri göremezler. Kullanıcılar, --pid=host
, --net=host
, --ipc=host
, --uts=host
konteyner motoru bayraklarını kullanarak bireysel ad alanlarını devre dışı bırakabilirler.
Varsayılan olarak, konteyner motorları kullanıcı ad alanlarını kullanmaz, yalnızca rootless konteynerler için gereklidir, bu da dosya sistemi montajı ve birden fazla UID kullanımı için gereklidir. Rootless konteynerler için temel olan kullanıcı ad alanları devre dışı bırakılamaz ve ayrıcalıkları kısıtlayarak güvenliği önemli ölçüde artırır.
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)