Docker 容器宿主机被入侵如何排查容器逃逸漏洞与配置加固？

发现宿主机疑似被入侵时，首要动作是隔离网络并保留现场，不要急于重启容器或宿主机，随后再排查是否存在特权配置或内核漏洞导致的逃逸。

先说结论：宿主机失陷意味着容器信任边界已失效，必须按物理机入侵标准处理，同时排查容器配置是否降低了攻击门槛。

• 先判断：确认入侵迹象是来自容器内部还是宿主机外部，检查异常进程和网络连接。
• 优先做：断开宿主机外网连接，对内存和磁盘做快照备份，防止证据丢失。
• 再验证：修复漏洞后，通过安全基准扫描工具确认配置不再存在高风险项。

命令速用版

以下命令用于快速检查容器是否存在高风险配置，需在可信环境下执行：

docker ps `--format` "table {{.ID}}\t{{.Names}}\t{{.Status}}"

docker inspect `--format` '{{.HostConfig.Privileged}}' <container_id>

docker inspect `--format` '{{.HostConfig.CapAdd}}' <container_id>

若 Privileged 返回 true 或 CapAdd 包含 SYS_ADMIN 等高危能力，需立即整改。

批量检查所有容器特权状态：

for i in $(docker ps -q); do echo "Container: $i"; docker inspect `--format` '{{.HostConfig.Privileged}}' $i; done

为什么会这样

容器逃逸通常是因为容器拥有了过高的权限，或者内核存在未修复漏洞。默认情况下，Docker 容器通过 Namespace 和 Cgroups 与宿主机隔离，但如果开启了 privileged 模式，容器内的 root 用户几乎等同于宿主机 root。此外，挂载了 Docker.sock 文件或宿主机敏感目录，也会让攻击者直接控制 Docker 守护进程或读取宿主机文件。

分步处理

1. 隔离与止损
不要直接 kill 进程或重启，先断开网络。如果是在云环境，利用安全组策略禁止所有出入流量，仅保留运维 IP 访问。

2. 收集证据
使用专业工具对内存和磁盘做镜像。注意：在受损主机上执行命令需谨慎，建议使用静态编译的工具。

# 内存取证示例 (需提前下载 avml 工具)
./avml -o memory.dump

# 磁盘关键目录备份
tar -czf /tmp/var_log.tar.gz /var/log

记录当前运行的进程列表、网络连接和定时任务（建议使用静态编译的 busybox 替代系统命令）：

./busybox ps auxf > /tmp/ps_dump.txt

./busybox netstat -antp > /tmp/net_dump.txt

3. 排查逃逸路径
检查是否有容器挂载了宿主机根目录或 Docker socket。检查内核版本是否存在已知提权漏洞。

# 检查 Docker Socket 挂载
docker inspect <container_id> | grep -i "docker.sock"

# 检查敏感目录挂载
docker inspect <container_id> | grep -i "mounts"

# 检查内核版本
uname -r

4. 配置加固
移除 privileged 权限，使用 `--cap-drop` 丢弃不必要的能力，启用只读根文件系统。

docker run `--read-only` `--cap-drop`=ALL `--cap-add`=NET_BIND_SERVICE ...

限制容器访问宿主机资源：

docker run `--security-opt`=no-new-privileges:true ...

怎么验证是否生效

加固后，尝试在容器内执行敏感操作。例如，若丢弃了所有能力，容器内应无法加载内核模块或修改网络配置。使用 docker-bench-security 等脚本进行基线扫描，确保没有高危警告。

docker run `--rm` -it `--net` host `--pid` host `--userns` host `--cap-add` audit_control -v /var/lib/docker:/var/lib/docker -v /var/run/docker.sock:/var/run/docker.sock docker/docker-bench-security

常见坑

1. 不要信任宿主机上的二进制文件，入侵者可能替换了 ps 或 netstat 命令。解决方案：从可信介质下载静态编译的 busybox 或 toolchain，传输至主机执行取证。
2. 避免在生产环境直接开启 Docker Remote API 的 TCP 端口，这等同于将 root 权限暴露在网络中。
3. 日志留存不足，导致无法追溯入侵时间点和入口，建议配置 centralized logging。
4. 忽略内核漏洞修复，容器共享宿主机内核，宿主机内核漏洞可直接导致逃逸，需定期更新内核。

原文链接：https://www.zjcp.cc/ask/11382.html