在容器里执行 cat /proc/self/pagemap (也许别的文件也行, /proc/self/*肯定行) 就会引爆docker daemon。
真巧,我就想看看Docker容器里的/proc下的东西,cat了一下看看,居然把docker daemon给搞死了。
真巧,我就想看看Docker容器里的/proc下的东西,cat了一下看看,居然把docker daemon给搞死了。
cat /proc/self/*
死了以后只有docker-machine restart default了。
后来总结了一下经验,发现非root身份都引发,什么image都行。
docker run -d -u 1000:1000 busybox cat /proc/self/pagemap
Docker for Mac也一样有这个毛病。
没时间研究这个,不知道内部的那个runC有没有这个毛病。 具体的错误信息太长,不贴了。
说到Docker的安全性,强烈推荐这个白皮书, 2016 Understanding Hardening Linux Containers
没有评论:
发表评论