【发布时间】:2020-01-27 19:25:37
【问题描述】:
我正在尝试了解使用 --cap-add=NET_ADMIN 运行容器的安全隐患。容器将在 k8s 集群中运行,它们将执行用户提供的代码(我们无法控制并且可能是恶意的)。
据我了解,除非我添加 --network host 标志,否则容器将只能更改自己的网络堆栈。因此,它们可以破坏自己的网络,但不能以任何方式影响主机或其他容器。
这是正确的吗?在决定这样做是否安全时是否有任何考虑?
【问题讨论】:
-
在 Unix stackoverflow 上查看此响应 - 如果可以重新刷新以太网设备unix.stackexchange.com/questions/508809/…,则可以使用 SIOCETHTOOL ioctl 来破坏主机
标签: docker security networking kubernetes permissions