Пользователь может запустить контейнер docker с монтированием каталога хоста.

Как примонтировать каталог хоста в Docker контейнер

например нам необходим каталог /home/user/db

Выполняем запуск:

 docker run ubuntu -v /home/user/db/

Как мы видим, это позволяет нам получать доступ к файлам хоста от пользователя root.

Чтобы устранить эту уязвимость необходимо выполнить следующие действия:

добавляем пользователя

$ sudo adduser dockremap

Установим для него subiud и subgid

$ sudo sh -c 'echo dockremap:500000:65536 > /etc/subuid'

$ sudo sh -c 'echo dockremap:500000:65536 > /etc/subgid'

Добавляем параметр “userns-remap” для этого создадим/изменим файл (/etc/docker/daemon.json) добавив параметр

{

“userns-remap”: “default”

}

перезапускаем демона:

/etc/init.d/docker restart

Таким образом мы закрываем пользователю путь к монтированию каталогов хоста.