Пользователь может запустить контейнер docker с монтированием каталога хоста.
Как примонтировать каталог хоста в Docker контейнер
например нам необходим каталог /home/user/db
Выполняем запуск:
docker run ubuntu -v /home/user/db/
Как мы видим, это позволяет нам получать доступ к файлам хоста от пользователя root.
См. также Рекомендации по безопасности — постройте надежный контейнер Docker
Чтобы устранить эту уязвимость необходимо выполнить следующие действия:
добавляем пользователя
$ sudo adduser dockremap
Установим для него subiud и subgid
$ sudo sh -c 'echo dockremap:500000:65536 > /etc/subuid'
$ sudo sh -c 'echo dockremap:500000:65536 > /etc/subgid'
Добавляем параметр “userns-remap” для этого создадим/изменим файл (/etc/docker/daemon.json) добавив параметр
{
“userns-remap”: “default”
}
перезапускаем демона:
/etc/init.d/docker restart
Таким образом мы закрываем пользователю путь к монтированию каталогов хоста.
