Docker套接字不安装或挂载到容器内

描述

docker socket不应该安装在容器内

隐患分析

如果Docker套接字安装在容器内,它将允许在容器内运行的进程执行Docker命令,这有效地允许完全控制主机

审计方式

shell script [root@localhost ~]# docker ps --quiet | xargs docker inspect --format='{{.Id}}:Volumes={{.Mounts}}'|grep docker.sock

上述命令将返回docker.sock作为卷映射到容器的任何实例

修复建议

确保没有容器将docker.sock作为卷挂载

参考文档

Copyright © weiliang 2021 all right reserved,powered by Gitbook本书发布时间: 2024-04-22 16:03:42

results matching ""

    No results matching ""