只有受信任的用户才能控制Docker守护进程

描述

Docker守护进程需要root权限。对于添加到Docker组的用户， 为其提供了完整的root访问权限。

隐患分析

Docker允许在宿主机和访客容器之间共享目录，而不会限制容器的访问权限。 这意味着可以启动容器并将主机上的/目录映射到容器。 容器将能够不受任何限制地更改您的主机文件系统。 简而言之，这意味着您只需作为Docker组的成员即可获得较高的权限，然后在主机上启动具有映射/目录的容器。

审计方式

[root@localhost ~]# yum install glibc-common -y -q
[root@localhost ~]# getent group docker
docker:x:994:

• 结果判定

查看审计步骤中的返回值是否含有非信任用户

修复建议

从docker组中删除任何不受信任的用户。另外，请勿在主机上创建敏感目录到容器卷的映射

参考文档

• Docker容器最佳安全实践白皮书（V1.0）
• Docker官方文档