在线观看www成人影院-在线观看www日本免费网站-在线观看www视频-在线观看操-欧美18在线-欧美1级

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

淺析無根容器的結構和漏洞

如意 ? 來源:FreeBuf ? 作者:FreeBuf ? 2020-07-02 10:44 ? 次閱讀

隨著云計算的發展,容器變得越來越流行,同時也產生了實現容器的新方案,其中之一就是無根容器。無根容器是不需要root即可創建得容器,盡管無根容器在安全方面具有優勢,但它們仍在測試開發中。本文介紹了無根容器的內部結構,并分析了無根容器網絡組件中的漏洞。

無根容器

無根容器與常規容器相同,區別在于它們不需要root即可形成。無根容器仍處于早期階段,無根容器出現的原因有很多。

添加新的安全層。 如果容器運行時受到攻擊,攻擊者將無法獲得主機的root特權。

允許多個非特權用戶在同一臺計算機上運行容器。

允許隔離嵌套容器。

Linux內核的一項新開發使此方案成為可能,允許無特權的用戶創建新的用戶空間。 當用戶創建并輸入新的用戶空間時,他將成為該空間的root用戶,并獲得生成容器所需的大多數特權。

網絡連接

為了允許容器聯網,通常創建虛擬以太網設備(VETH)負責聯網。 但只有root才有權創建此類設備,主要的解決方案是Slirp和LXC-user-nic。

(1) Slirp

Slirp最初被設計為面向非特權用戶的Internet連接。 隨著時間的流逝,它成為虛擬機和仿真器(包括著名的QEMU)的網絡堆棧,可對其修改調整以啟用無根容器中網絡連接。它把容器用戶和網絡名稱空間分開并創默認路由設備。 然后,它將設備的文件傳遞給默認網絡名稱空間的父級,使其可以與容器和Internet進行通信

(2) LXC-User-Nic

另一種方法是運行setuid創建VETH設備。 盡管它可以啟用容器內的聯網功能,但是它會要求容器文件以root權限運行。

存儲管理

容器的復雜元素之一是存儲管理。 默認情況下,容器使用Overlay2(或Overlay)創建文件系統,但是無根容器不能做到這一點,大多數Linux不允許在用戶名稱空間中安裝overlay文件系統。解決方案是使用其他驅動程序,例如VFS存儲驅動程序。雖然有效但效率低。更好的解決方案是創建新的存儲驅動程序,適應無根容器的需求。

兼容狀態

以下容器引擎支持以下組件無根容器:

安全分析

從安全角度來看,無根容器中的漏洞還是配置錯誤都會導致容器中軟件受到破壞,應該始終以有限特權運行軟件,當漏洞產生時,影響將降至最低。LXE-user-nic具有多個漏洞,攻擊者可利用漏洞提權,例如CVE-2017-5985和CVE-2018-6556。Slirp近年來也披露了多個漏洞。

Slirp – CVE-2020-1983:

在對該軟件進行模糊測試時,發現了一個可能導致Slirp崩潰的漏洞。該漏洞分配編號為CVE-2020-1983。

這個問題與Slirp如何管理IP碎片有關。 IP數據包的最大大小為65,535字節,錯誤是Slirp無法驗證分段IP數據包的大小,當它對大于65,535的數據包進行分段時就會會崩潰。

libslirp中的其他漏洞可在容器上執行代碼,甚至可從容器逃逸到主機以及其他容器。2020年發現了兩個此類漏洞:CVE-2020-8608和CVE-2020-7039,受影響的Slirp版本是4.0.0至4.2.0。

總結

無根容器提供了一種新的容器解決方案,該方法增加了安全層。 它會成為云容器中的下一個演變方向。雖然無根容器仍然存在許多局限性,其功能仍處于試驗開發中,隨著時間和技術的發展,無根容器可以完全發揮作用并代替傳統容器。

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 容器
    +關注

    關注

    0

    文章

    507

    瀏覽量

    22369
  • 漏洞
    +關注

    關注

    0

    文章

    205

    瀏覽量

    15630
  • root
    +關注

    關注

    1

    文章

    86

    瀏覽量

    21626
收藏 人收藏

    評論

    相關推薦
    熱點推薦

    如何利用iptables修復安全漏洞

    隨著網絡安全威脅的不斷增加,安全中心掃描越來越頻繁。尤其是在大數據安全中心的漏洞報告中,許多漏洞在生產環境中無法通過服務升級來修復。
    的頭像 發表于 03-18 18:02 ?330次閱讀

    微軟Outlook曝高危安全漏洞

    近日,美國網絡安全和基礎設施安全局(CISA)發布了一項緊急安全公告,揭示了微軟Outlook中存在的一個高危遠程代碼執行漏洞(CVE-2024-21413)。該漏洞的嚴重性不容忽視,已成為惡意網絡
    的頭像 發表于 02-10 09:17 ?435次閱讀

    AMD與谷歌披露關鍵微碼漏洞

    近日,AMD與谷歌聯合公開披露了一個在2024年9月發現的關鍵微碼漏洞,該漏洞主要存在于AMD的Zen 1至Zen 4系列CPU中,特別是針對服務器/企業級平臺的EPYC CPU。 這一漏洞被編號
    的頭像 發表于 02-08 14:28 ?468次閱讀

    華為榮獲BSI全球首批漏洞管理體系認證

    近日,華為宣布成功獲得國際領先的標準、測試及認證機構英國標準協會(BSI)頒發的全球首批漏洞管理體系認證證書。這一殊榮標志著華為在漏洞管理方面達到了國際領先水平,其卓越的漏洞管理及實踐得到了權威認可
    的頭像 發表于 01-22 13:42 ?468次閱讀

    華為通過BSI全球首批漏洞管理體系認證

    近日,華為通過全球權威標準機構BSI漏洞管理體系認證,涵蓋了ISO/IEC 27001信息安全管理、ISO/IEC 29147漏洞披露及ISO/IEC 30111漏洞處理流程三大國際標準。華為憑借其
    的頭像 發表于 01-16 11:15 ?558次閱讀
    華為通過BSI全球首批<b class='flag-5'>漏洞</b>管理體系認證

    鈮電容器的工作原理 高性能鈮電容器應用領域

    : 1. 結構和材料 鈮電容器通常由鈮或其合金制成,這些材料具有高介電常數,這意味著它們可以在較小的體積內存儲更多的電荷。電容器的基本結構包括兩個導電板(電極),它們之間被一個絕緣材料
    的頭像 發表于 11-26 14:13 ?694次閱讀

    常見的漏洞分享

    #SPF郵件偽造漏洞 windows命令: nslookup -type=txt xxx.com linux命令: dig -t txt huawei.com 發現spf最后面跟著~all,代表有
    的頭像 發表于 11-21 15:39 ?591次閱讀
    常見的<b class='flag-5'>漏洞</b>分享

    技術科普 | 芯片設計中的LEF文件淺析

    技術科普 | 芯片設計中的LEF文件淺析
    的頭像 發表于 11-13 01:03 ?694次閱讀
    技術科普 | 芯片設計中的LEF文件<b class='flag-5'>淺析</b>

    村田多層陶瓷電容器的基本結構

    、PC、家用電器等各類電子設備中。本文將詳細介紹村田多層陶瓷電容器的基本結構及其特點。 村田多層陶瓷電容器的基本結構 村田多層陶瓷電容器的基
    的頭像 發表于 11-05 15:42 ?748次閱讀

    超級電容器和普通電容器的區別

    超級電容器(Supercapacitor)和普通電容器(Capacitor)都是電子設備中用于儲存和釋放電能的元件,但它們在結構、工作原理、性能參數和應用領域上有著顯著的不同。 在現代電子技術中
    的頭像 發表于 09-27 10:27 ?2440次閱讀

    自愈式低壓電容器與電力電容器的區別

    自愈式低壓電容器與電力電容器是兩種不同類型的電容器,它們在結構、工作原理、應用領域等方面都存在顯著差異。以下是對這兩種電容器的比較: 1.
    的頭像 發表于 09-26 11:02 ?796次閱讀

    漏洞掃描一般采用的技術是什么

    漏洞掃描是一種安全實踐,用于識別計算機系統、網絡或應用程序中的安全漏洞。以下是一些常見的漏洞掃描技術: 自動化漏洞掃描 : 網絡掃描 :使用自動化工具掃描網絡中的設備,以識別開放的端口
    的頭像 發表于 09-25 10:27 ?769次閱讀

    漏洞掃描的主要功能是什么

    漏洞掃描是一種網絡安全技術,用于識別計算機系統、網絡或應用程序中的安全漏洞。這些漏洞可能被惡意用戶利用來獲取未授權訪問、數據泄露或其他形式的攻擊。漏洞掃描的主要功能是幫助組織及時發現并
    的頭像 發表于 09-25 10:25 ?827次閱讀

    常見的服務器容器漏洞類型匯總

    常見的服務器容器包括KubeSphere、Tomcat、Nginx、Apache等,它們在提供便捷的服務部署和靈活的網絡功能的同時,也可能存在著一定的安全風險。這些容器漏洞可能導致數據泄露、權限被非授權訪問甚至系統被完全控制。
    的頭像 發表于 08-29 10:39 ?480次閱讀

    內核程序漏洞介紹

    電子發燒友網站提供《內核程序漏洞介紹.pdf》資料免費下載
    發表于 08-12 09:38 ?0次下載
    主站蜘蛛池模板: 精品久久久久久中文字幕欧美 | 视频一区二区在线播放 | 成人免费精品视频 | 性欧美黑人巨大videos | 日本xx69 | 欧美video free xxxxx | 青草青草视频2免费观看 | 色婷婷在线视频 | 久久系列| 亚洲高清国产一线久久 | 亚洲天堂不卡 | 国产爱v| 色色色色色色色色色色色色色色 | 99自拍视频 | 精品免费久久久久久成人影院 | 国产主播在线播放 | 俄罗斯小屁孩cao大人免费 | 中文日产国产精品久久 | 最近高清免费观看视频大全 | 禁h粗大太大好爽好涨受不了了 | 女bbbbxxxx毛片视频丶 | 夜夜操夜夜摸 | 黄色国产在线视频 | 欧美综合色 | 亚洲三级黄 | 毛片新网址 | 婷婷午夜激情 | 久久都是精品 | 午夜毛片网站 | 在线capcom超级碰碰 | xxxx欧美| 免费黄色在线视频 | 一级黄色片欧美 | 免费看真人a一级毛片 | 午夜精| 在线免费视频你懂的 | 天天色综合久久 | 午夜神马嘿嘿 | 国产黄视频在线观看 | 五月亭亭六月丁香 | 日韩欧美印度一级毛片 |