📖Namespaces

Apresentação

O docker utiliza namespaces para providenciar a isolação dos contêiners entre os hosts, algum deles:

PID namespace para isolamento de processo
NET namespace para gerenciamento de interfaces de internet
IPC namespace para gerenciamento de acesso a recursos IPC
MNT namespace para gerenciamento de montagem de filesystems
UTS namespace para isolamento de kernel
User ID(user) namespace para isolamento de privilégios

Iremos falar sobre o namespace User ID, como podemos mapear toda a raiz do host e como podemos defender desse ataque

Attack

O usuário precisa apenas estar no grupo docker, para poder rodar o docker, com isso ele consegue acesso root ao sistema mapeando o diretório raiz para um diretório dentro do contêiner

Defense

# Primeiro vamos parar o docker
sudo systemctl stop docker

# Agora vamos configurar corretamente o namespace user
sudo dockerd --userns-remap=default &

Conclusão

É muito usuários com menos privilégio terem permissão para executar o docker, e se o namespace do user não estiver mapeado para default, o usuário consegueria acesso ao diretório root no sistema

PreviousDocker content trust NextSSH Tricks

Last updated 1 year ago