永远不要公开 Docker 套接字。时期。

一则或许对你有用的小广告

欢迎加入小哈的星球 ,你将获得:专属的项目实战 / Java 学习路线 / 一对一提问 / 学习打卡/ 赠书活动

目前,正在 星球 内带小伙伴们做第一个项目:全栈前后端分离博客项目,采用技术栈 Spring Boot + Mybatis Plus + Vue 3.2 + Vite 4手把手,前端 + 后端全栈开发,从 0 到 1 讲解每个功能点开发步骤,1v1 答疑,陪伴式直到项目上线,目前已更新了 138 小节,累计 21w+ 字,讲解图:905 张,还在持续爆肝中,后续还会上新更多项目,目标是将 Java 领域典型的项目都整上,如秒杀系统、在线商城、IM 即时通讯、权限管理等等,已有 350+ 小伙伴加入,欢迎点击围观

Rackspace 的一位密码学家最近在博客上向所有 Docker 用户发出警告: 不要公开 Docker 套接字,即使是对容器

他写道,许多开发人员认为,当您从容器中获得对 Docker 套接字的写入访问权限时,它并没有有效地为您提供 root 访问权限(确实如此),或者它使您的访问权限仅限于该容器而无法突破(你可以)。

对 Docker 套接字的写入访问权限是主机上的根,无论写入来自何处。这与 Jerome Pettazoni 的 dind 不同,后者为您提供 Docker-in-Docker;我们讨论的是访问主机的 Docker 套接字。

--lvh

他甚至制作了一段视频来展示一位开发人员设置中的缺陷: