Можно ли навредить серверу из docker?

Question

[Сергей Васильев]

Вопрос довольно прост, у меня есть сервер, на котором есть несколько docker контейнеров, к которым есть доступ у нескольких людей. Могут ли эти люди как-то навредить основному серверу? Будь то забиванием озу, диска, или проникновением в bash самого основного сервера.

Answer 1

[paran0id]

Из криво настроенного - можно. Контейнеру должны быть квотированы ресурсы, чтобы он не мог сожрать всё доступное на сервере; контейнер должен быть непривилегированным, если нет необходимости в обратном; в контейнер не следует пробрасывать вольюмями ничего лишнего.

Answer 2

[SagePtr]

Если из этого контейнера есть доступ к сети - то к примеру, можно спам с него разослать или в других сетевых атаках поучаствовать, а засветится IP сервера.

Answer 3

[Олег Милованов]

Можно!

Comments

[Сергей Васильев]

Как именно?

Answer 4

[mayton2019]

Будь то забиванием озу, диска, или проникновением в bash самого основного сервера.

Ты знаешь, многие вопросы в инфо-технологиях быстрее проверить чем доказывать ссылаясь на литературу.
Это как в физике-механике. Делаем эксперимент. Яблоко падает. И уже подгоняем формулы и научную основу.

Создай образ докера. Создай С++ привет мир-приложение которое делает malloc(1Гб). А потом сделай

docker run .... --memory 512M

Что тебе мешает это сделать и просто прийти в хабр уже с ответом и дальше спрашивать по безопасности докера?