背景:
"逃逸"在容器安全领域,其实就是**"从容器里跑出去,去控制宿主机"**的意思。
大白话解释
你可以把容器(比如Docker、K8s里的容器)想象成一个房间,房间里只能做房间里的事,外面的东西你碰不到。
容器逃逸就是:
有人本来被关在房间里(容器里),但通过某种方法,偷偷溜出了房间,开始在外面(宿主机)乱跑、乱动,甚至能控制整个房子(宿主机)。
举个例子
- 正常情况下,容器里的程序只能操作自己那一块儿,像个"隔离的小世界"。
- 如果被攻击者利用漏洞"逃逸",他就能突破这层隔离,去操作宿主机上的文件、命令,甚至控制宿主机。
为什么危险?
因为这样攻击者不仅能搞坏容器,还能影响整个服务器,甚至其它容器,造成更大的安全问题。
一句话总结:
容器逃逸就是本来只能在容器里活动的人,通过特殊方法跑到宿主机上,获得更大权限的行为。