异常教程
永远不要公开 Docker 套接字。时期。
💡一则或许对你有用的小广告
欢迎加入小哈的星球 ,你将获得:专属的项目实战 / 1v1 提问 / Java 学习路线 / 学习打卡 / 每月赠书 / 社群讨论
- 新项目:《从零手撸:仿小红书(微服务架构)》 正在持续爆肝中,基于
Spring Cloud Alibaba + Spring Boot 3.x + JDK 17...,点击查看项目介绍 ;演示链接: http://116.62.199.48:7070 ;- 《从零手撸:前后端分离博客项目(全栈开发)》 2 期已完结,演示链接: http://116.62.199.48/ ;
截止目前, 星球 内专栏累计输出 90w+ 字,讲解图 3441+ 张,还在持续爆肝中.. 后续还会上新更多项目,目标是将 Java 领域典型的项目都整一波,如秒杀系统, 在线商城, IM 即时通讯,权限管理,Spring Cloud Alibaba 微服务等等,已有 3100+ 小伙伴加入学习 ,欢迎点击围观
Rackspace 的一位密码学家最近在博客上向所有 Docker 用户发出警告: 不要公开 Docker 套接字,即使是对容器 。
他写道,许多开发人员认为,当您从容器中获得对 Docker 套接字的写入访问权限时,它并没有有效地为您提供 root 访问权限(确实如此),或者它使您的访问权限仅限于该容器而无法突破(你可以)。
对 Docker 套接字的写入访问权限是主机上的根,无论写入来自何处。这与 Jerome Pettazoni 的
dind不同,后者为您提供 Docker-in-Docker;我们讨论的是访问主机的 Docker 套接字。
他甚至制作了一段视频来展示一位开发人员设置中的缺陷: