13、打破容器隔离：风险与应对策略

打破容器隔离：风险与应对策略

1. 容器默认以 root 身份运行

1.1 默认情况

除非容器镜像指定了非 root 用户，或者在运行容器时指定了非默认用户，否则容器默认将以 root 身份运行。并且，在没有配置用户命名空间的情况下，容器内的 root 就是宿主机上的 root。

以下是一个示例，以非 root 用户在 Alpine 容器内运行 shell 并检查用户身份：

$ whoami
vagrant
$ docker run -it alpine sh
/ $ whoami
root

在容器内运行 sleep 100 命令，然后在宿主机的另一个终端中检查该进程的用户身份：

$ ps -fC sleep
UID        PID  PPID  C STIME TTY          TIME CMD
root     30619 30557  0 16:44 pts/0    00:00:00 sleep 100

从宿主机的角度来看，该进程由 root 用户拥有，这表明容器内的 root 就是宿主机上的 root。

1.2 风险分析

在 Docker 中，即使由非 root 用户启动容器，容器以 root 身份运行也属于一种权限提升。虽然容器以 root 身份运行本身不一定是问题，但从安全角度考虑，这会敲响警钟。如果攻击者能够逃逸出以 root 身份运行的容器，他