容器安全
尽管目前Namespace已经提供了非常多的资源隔离类型,但是仍有部分关键内容没有被完全隔离, 其中包括一些系统的关键性目录(如/sys、/proc等)。
由于同一宿主机上所有容器共享主机内核攻击者可以利用一些特殊手段导致内核崩,进而导致主机岩机影响主机上其他服务。
User Namespace主要是用来做容器内用户和主机的用户隔离的。
Docker从1.10版本开始,使用User Namespace做用户隔离实现了容器中的root用户映射到主机上的非root用户
尽管目前Namespace已经提供了非常多的资源隔离类型,但是仍有部分关键内容没有被完全隔离, 其中包括一些系统的关键性目录(如/sys、/proc等)。
由于同一宿主机上所有容器共享主机内核攻击者可以利用一些特殊手段导致内核崩,进而导致主机岩机影响主机上其他服务。
User Namespace主要是用来做容器内用户和主机的用户隔离的。
Docker从1.10版本开始,使用User Namespace做用户隔离实现了容器中的root用户映射到主机上的非root用户