发现宿主机疑似被入侵时,首要动作是隔离网络并保留现场,不要急于重启容器或宿主机,随后再排查是否存在特权配置或内核漏洞导致的逃逸。
先说结论:宿主机失陷意味着容器信任边界已失效,必须按物理机入侵标准处理,同时排查容器配置是否降低了攻击门槛。
- 先判断:确认入侵迹象是来自容器内部还是宿主机外部,检查异常进程和网络连接。
- 优先做:断开宿主机外网连接,对内存和磁盘做快照备份,防止证据丢失。
- 再验证:修复漏洞后,通过安全基准扫描工具确认配置不再存在高风险项。
命令速用版
以下命令用于快速检查容器是否存在高风险配置,需在可信环境下执行:
docker ps `--format` "table {{.ID}}\t{{.Names}}\t{{.Status}}"docker inspect `--format` '{{.HostConfig.Privileged}}' <container_id>docker inspect `--format` '{{.HostConfig.CapAdd}}' <container_id>若 Privileged 返回 true 或 CapAdd 包含 SYS_ADMIN 等高危能力,需立即整改。
批量检查所有容器特权状态:
for i in $(docker ps -q); do echo "Container: $i"; docker inspect `--format` '{{.HostConfig.Privileged}}' $i; done为什么会这样
容器逃逸通常是因为容器拥有了过高的权限,或者内核存在未修复漏洞。默认情况下,Docker 容器通过 Namespace 和 Cgroups 与宿主机隔离,但如果开启了 privileged 模式,容器内的 root 用户几乎等同于宿主机 root。此外,挂载了 Docker.sock 文件或宿主机敏感目录,也会让攻击者直接控制 Docker 守护进程或读取宿主机文件。
分步处理
1. 隔离与止损
不要直接 kill 进程或重启,先断开网络。如果是在云环境,利用安全组策略禁止所有出入流量,仅保留运维 IP 访问。
2. 收集证据
使用专业工具对内存和磁盘做镜像。注意:在受损主机上执行命令需谨慎,建议使用静态编译的工具。
# 内存取证示例 (需提前下载 avml 工具) ./avml -o memory.dump
# 磁盘关键目录备份 tar -czf /tmp/var_log.tar.gz /var/log
记录当前运行的进程列表、网络连接和定时任务(建议使用静态编译的 busybox 替代系统命令):
./busybox ps auxf > /tmp/ps_dump.txt
./busybox netstat -antp > /tmp/net_dump.txt
3. 排查逃逸路径
检查是否有容器挂载了宿主机根目录或 Docker socket。检查内核版本是否存在已知提权漏洞。
# 检查 Docker Socket 挂载 docker inspect <container_id> | grep -i "docker.sock"
# 检查敏感目录挂载 docker inspect <container_id> | grep -i "mounts"
# 检查内核版本 uname -r
4. 配置加固
移除 privileged 权限,使用 `--cap-drop` 丢弃不必要的能力,启用只读根文件系统。
docker run `--read-only` `--cap-drop`=ALL `--cap-add`=NET_BIND_SERVICE ...
限制容器访问宿主机资源:
docker run `--security-opt`=no-new-privileges:true ...
怎么验证是否生效
加固后,尝试在容器内执行敏感操作。例如,若丢弃了所有能力,容器内应无法加载内核模块或修改网络配置。使用 docker-bench-security 等脚本进行基线扫描,确保没有高危警告。
docker run `--rm` -it `--net` host `--pid` host `--userns` host `--cap-add` audit_control -v /var/lib/docker:/var/lib/docker -v /var/run/docker.sock:/var/run/docker.sock docker/docker-bench-security
常见坑
1. 不要信任宿主机上的二进制文件,入侵者可能替换了 ps 或 netstat 命令。解决方案:从可信介质下载静态编译的 busybox 或 toolchain,传输至主机执行取证。
2. 避免在生产环境直接开启 Docker Remote API 的 TCP 端口,这等同于将 root 权限暴露在网络中。
3. 日志留存不足,导致无法追溯入侵时间点和入口,建议配置 centralized logging。
4. 忽略内核漏洞修复,容器共享宿主机内核,宿主机内核漏洞可直接导致逃逸,需定期更新内核。
原文链接:https://www.zjcp.cc/ask/11382.html