From 18f3c52ba8baf9f02c487f50d56d32c58fda1e00 Mon Sep 17 00:00:00 2001 From: Yunfeng Wang Date: Tue, 23 Aug 2016 22:41:26 +0800 Subject: [PATCH] =?UTF-8?q?=E5=9C=A8=E5=8F=A5=E5=B0=BE=E5=A2=9E=E5=8A=A0?= =?UTF-8?q?=E5=8F=A5=E5=8F=B7?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- security/daemon_sec.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/security/daemon_sec.md b/security/daemon_sec.md index 3e7cece..5ece0a7 100644 --- a/security/daemon_sec.md +++ b/security/daemon_sec.md @@ -3,7 +3,7 @@ 首先,确保只有可信的用户才可以访问 Docker 服务。Docker 允许用户在主机和容器间共享文件夹,同时不需要限制容器的访问权限,这就容易让容器突破资源限制。例如,恶意用户启动容器的时候将主机的根目录`/`映射到容器的 `/host` 目录中,那么容器理论上就可以对主机的文件系统进行任意修改了。这听起来很疯狂?但是事实上几乎所有虚拟化系统都允许类似的资源共享,而没法禁止用户共享主机根文件系统到虚拟机系统。 -这将会造成很严重的安全后果。因此,当提供容器创建服务时(例如通过一个 web 服务器),要更加注意进行参数的安全检查,防止恶意的用户用特定参数来创建一些破坏性的容器 +这将会造成很严重的安全后果。因此,当提供容器创建服务时(例如通过一个 web 服务器),要更加注意进行参数的安全检查,防止恶意的用户用特定参数来创建一些破坏性的容器。 为了加强对服务端的保护,Docker 的 REST API(客户端用来跟服务端通信)在 0.5.2 之后使用本地的 Unix 套接字机制替代了原先绑定在 127.0.0.1 上的 TCP 套接字,因为后者容易遭受跨站脚本攻击。现在用户使用 Unix 权限检查来加强套接字的访问安全。