3.1.5 宿主机操作系统存在的风险

与虚拟机不同,作为一种轻量级虚拟化技术,容器通常与宿主机共享内核。这意味着,如果宿主机内核本身存在安全漏洞,理论上,这些漏洞是能够在容器内进行利用的。通过利用这些漏洞,攻击者可能实现权限提升,甚至从容器中逃逸,获得宿主机的控制权。

例如,在存在CVE-2016-5195(“脏牛”)漏洞的容器环境中,攻击者可以借助该漏洞向进程vDSO区域写入恶意代码,从而实现容器逃逸,我们将在3.4.1节对此进行介绍。

令人欣慰的是,Capabilities及Seccomp机制(见14.2节)在一定程度上缓解了共享内核带来的问题。另外,以Kata Containers和gVisor为代表的安全容器则能够较为彻底地解决共享内核带来的安全问题。前者为每一个容器创建一个独立的轻量虚拟机,后者在用户空间模拟内核以处理系统调用,虽然实现思路不同,但都致力于让容器摆脱对宿主机内核的直接依赖。但是,安全容器不等于绝对安全。我们将在3.4.2节介绍Kata Containers的逃逸案例。