假设,我在 Docker.io 容器中有一个易受攻击的 OpenSSL 服务器。 Docker 会阻止主机的内存被读取吗?
我的假设是,确实如此。因为漏洞在 OpenSSL 而不是在内核中,所以 Docker 应该隔离容器中的根访问。但是Wikipedia 只说“部分根权限隔离”并暗示它依赖于后端。因此,请说明您是使用 libcontainer 还是 lxc 或其他方式回答。
【问题讨论】:
标签: docker heartbleed-bug
如果一个易受攻击的服务器在容器中运行,则只有该容器的内存会被泄露。
实际上,即使没有容器,也只会泄漏该服务器的进程内存。例如,如果你有一个易受攻击的 Apache+OpenSSL 服务器和一个 SSH 服务器在同一台机器上运行,攻击者可以从 Apache 服务器获取内存碎片,但永远无法从 SSH 服务器获取任何内容。 (除非这个 Apache 服务器用于分发 SSH 私钥或类似的东西,当然……)
【讨论】:
related question 表明只有易受攻击的应用程序的内存受到影响。除非可以获取本地登录数据或以其他方式获得本地 root 访问权限,否则这个问题是无关紧要的。
【讨论】: