Docker 容器逃逸检测项目教程
1. 项目的目录结构及介绍
container-escape-check/
├── LICENSE
├── README.md
├── README_ZH.md
├── container-escape-check.sh
└── img/
└── example.png
LICENSE: 项目的许可证文件。README.md: 项目的英文介绍文档。README_ZH.md: 项目的中文介绍文档。container-escape-check.sh: 项目的主脚本文件,用于检测Docker容器逃逸方法。img/: 存放项目相关的图片文件。
2. 项目的启动文件介绍
container-escape-check.sh 是项目的主脚本文件,用于检测Docker容器逃逸方法。以下是该文件的主要功能:
- 检测特权模式(Privileged Mode)
- 检测挂载Docker Socket(Mount docker Socket)
- 检测挂载主机procfs(Mount host procfs)
- 检测挂载主机根目录或etc目录(Mount host root or etc directory)
- 检测打开Docker远程API(Open Docker Remote API)
- 检测CVE-2016-5195 DirtyCow
- 检测CVE-2020-14386
- 检测CVE-2022-0847 DirtyPipe
- 检测CVE-2017-1000112
- 检测CVE-2021-22555
- 检测挂载主机var/log目录(Mount Host Var Log)
- 检测CAP_DAC_READ_SEARCH
- 检测CAP_SYS_ADMIN
- 检测CAP_SYS_PTRACE
- 检测CVE-2022-0492
3. 项目的配置文件介绍
该项目没有显式的配置文件。所有的配置和检测逻辑都集成在 container-escape-check.sh 脚本中。用户可以通过直接运行该脚本来进行容器逃逸检测。
使用方法
-
直接运行脚本:
wget https://raw.githubusercontent.com/teamssix/container-escape-check/main/container-escape-check.sh -O- | bash -
克隆项目并运行:
git clone https://github.com/teamssix/container-escape-check.git cd container-escape-check chmod +x container-escape-check.sh ./container-escape-check.sh
注意事项
- 该脚本需要在Docker容器内部运行。
- 大多数检测方法基于作者的经验,可能存在误报或遗漏。如果发现问题,请提交Issue。
以上是关于 container-escape-check 项目的详细教程,希望对您有所帮助。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
