Security
在 GNOME-Boxes 上執行的惡意 docker 映像會危害主機嗎?
我正在使用 GNOME-Boxes 在 Fedora 35 主機中執行 Fedora 35 來賓。如果我使用 –privileged 標誌(以及其他標誌)執行 docker 容器,它可能造成的最大危害是什麼?
我讀到一個惡意 docker 確實可以利用裸機系統,所以我認為它可以訪問比它在來賓機器中應該訪問的更多內容。但是樓主呢?
如果我使用 –privileged 標誌(以及其他標誌)執行 docker 容器,它可能造成的最大危害是什麼?
--privileged表示容器以 root 身份執行。這意味著容器可以很好地做它想做的一切——容器中的 root 使用者是整個系統的 root 使用者。它可以安裝devfs在任何牠喜歡的地方,覆蓋你的 SSD。它可以讀取所有 RAM,安裝 nvidia 驅動程序,下載 deepfake 色情內容,應有盡有。但是,如果我正確理解您的問題,那隻是您的虛擬機內的容器。VM 邊界實際上是邊界(不僅僅是選擇性命名空間的功能你的核心),所以這很難克服。最後,這取決於您與主機共享的內容。但是例如,如果您的主機和 VM 共享 CPU 核心(他們可能這樣做!)並因此共享記憶體記憶體,則主機容易受到 VM 內部的 SPECTRE 式攻擊(巧合的是,這可能是即使是小型 x86_64 VM 的主要原因。超大規模器為您提供兩個核心:這是不共享記憶體的最小硬體單元)。Rowhammer 仍然有效,即使敲擊的頁面更有可能在訪客內部;當然,如果您共享 GPU 記憶體(通過 3D 加速來賓),那就是打破了幾堵牆。(GPU 及其驅動程序在這方面特別討厭。有
但最終,所有這些都不太可能被有用地利用。請注意,從我的腦海中,我只是將硬體錯誤辨識為 VM 隔離的破壞者!所以,你很安全。