Комментарии 2
Можно для расширения кругозора пару глупых вопросов?
1)Один из способов прокидывания в докер-контейнер X11 сопряжен с копированием файла аутентификации .xauth. Это добавляет злоумышленнику возможности? Или это не возможности, а "ключи от квартиры, где деньги лежат"?
2) При прокидывании в контейнер устройств вроде usb-камеры/i²c устройства, есть два путя:
один с предоставлением контейнеру флага priveleged=true, и второй, описанный как "безопасный", с предоставлением контейнеру доступа к конкретному символьному устройству, но с правами rwx. Существует ли хитрожелтая теоретическая возможность из контейнера притвориться символьным устройством "клавиатурой", вместо usb-камеры и сбежать из контейнера?
Спасибо.
Добрый день
1. Прокидывание X11 в Docker-контейнер с помощью копирования файла .xauth действительно может дать злоумышленнику доступ к вашему серверу X11. Я бы сказал, что это похоже на "ключи от квартиры", так как если злоумышленник получит доступ к графическим сессиям, то сможет просматривать экран или захватывать события с клавиатуры и мыши
2. Когда контейнер получает доступ к символьному устройству (например, USB-камера или I²C-устройство) с правами rwx, контейнер получает возможность напрямую взаимодействовать с этим устройством на уровне драйвера. Теоретически это безопаснее, чем запуск контейнера с флагом privileged=true, который даёт полные права и доступ ко всем устройствам хоста. Однако этот подход не полностью исключает риски, связанные с маскировкой под другое устройство и уязвимостями в драйверах
Безопасность контейнерных сред: как отбить атаки киберпиратов