当前位置: 首页 > news >正文

Kubernetes攻防 特殊路径挂载导致的容器逃逸

news 2026/4/29 6:57:24

特殊路径挂载导致的容器逃逸

当例如宿主机的内的 /, /etc/, /root/.ssh 等目录的写权限被挂载进容器时,
在容器内部可以修改宿主机内的 /etc/crontab、/root/.ssh/、/root/.bashrc 等文件执行任意命令,就可以导致容器逃逸

# docker 运行示范dockerrun-it-v/:/tmp/rootfs ubuntubash

创建测试环境

apiVersion:v1kind:Podmetadata:name:ubuntu-host-rootfsnamespace:defaultlabels:app:ubuntu-host-rootfsspec:containers:-name:ubuntuimage:192.168.101.99:80/base/ubuntu:latest# Docker 里 bash 挂在前台;K8s 中需常驻进程,进入交互用 kubectl execcommand:["/bin/bash","-c","sleep infinity"]volumeMounts:-name:host-rootmountPath:/tmp/rootfsvolumes:-name:host-roothostPath:path:/type:DirectoryrestartPolicy:Always

操作

[root@k8s-node1 ~]# kubectl get podsNAME READY STATUS RESTARTS AGE ubuntu-host-rootfs1/1 Running032s[root@k8s-node1 ~]#[root@k8s-node1 ~]# kubectl exec -it ubuntu-host-rootfs /bin/bashkubectlexec[POD][COMMAND]is DEPRECATED and will be removedina future version. Use kubectlexec[POD]--[COMMAND]instead. root@ubuntu-host-rootfs:/# cd /tmp/rootfs/root@ubuntu-host-rootfs:/tmp/rootfs# ls etc/kubernetes/admin.conf controller-manager.conf manifests scheduler.conf backup kubeadm-config.yaml pki super-admin.conf config kubelet.conf plugins

防御建议

避免将敏感目录挂载到容器中,特别是带有写权限 使用只读挂载(ro选项)当需要共享宿主机文件时 实施严格的卷挂载策略,明确定义允许挂载的路径 使用Pod Security Policies限制卷挂载
http://www.jsqmd.com/news/717872/

相关文章:

  • 《池上》唐·白居易
  • Linux系统下的深度学习环境配置:从入门到精通
  • 启动mysql失败/usr/libexec/mysqld: Operation not permitted
  • 零基础玩转Qwen2.5-VL-7B:RTX 4090专属视觉助手,开箱即用图文交互
  • Python + FastAPI+ uniapp 健身房预约系统
  • 图形验证码的技术原理与应用场景深度解析
  • OpenClaw 安全复盘:“龙虾”漏洞到底发生了什么?
  • 2026年国内数字化档案管理系统Top5推荐
  • 别再为水下AI发愁了!手把手教你用虎鲸开源的UATD声呐数据集(含10类目标、9200张图)
  • 3步搭建零成本眼动追踪系统:eyeLike开源项目完全指南
  • Pixel Aurora Engine 模拟电路设计辅助:Proteus仿真图智能生成案例
  • 如何通过智能清理工具彻底解决Windows系统卡顿问题:专业指南
  • 【AI开发工具】Anaconda 完整安装与使用教程
  • 一年读完12本书,硬核搞定AI大模型入门!建议收藏!
  • 别再只调超参了!给ResNet50加上SE模块,我的图像分类准确率提升了3%
  • 2026上半年最值得关注的10款IT运维软件
  • 造相-Z-Image-Turbo 数据结构优化:提升大规模LoRA加载与管理效率
  • 春联生成模型资源优化:解决C盘空间不足的部署技巧
  • Phi-4-mini-flash-reasoning中小企业应用:低成本构建专业级逻辑推理能力
  • 如何免费解锁原神60帧限制:终极FPS解锁器完全指南
  • Python3.11环境配置全攻略:Miniconda镜像手把手教学
  • Phi-4-mini-reasoning算法精讲:十大排序算法原理与模型实现对比
  • 打包 Android beeware briefcase
  • 第八章:打印与导出
  • 抖音无水印下载终极方案:douyin-downloader 完整实战教程
  • Youtu-Parsing效果展示:复杂表格与手写体混合文档精准解析案例
  • 算法题(子串)
  • 微信点餐小程序
  • Moneta Markets亿汇:比特币触及高位与风险动态
  • EFI Boot Editor(EFI引导编辑器)