Docker逃逸是指攻击者通过漏洞或配置缺陷突破容器隔离限制，获取宿主机权限的行为，其原理主要涉及容器与宿主机共享内核的特性，常见攻击路径包括危险挂载（如/var/run/docker.sock）、特权模式滥用、内核漏洞（如CVE-2016-5195脏牛漏洞）以及容器运行时组件缺陷（如runc漏洞CVE-2019-5736），此类漏洞可能导致敏感数据泄露、横向渗透或供应链攻击，防御措施包括：最小化容器权限（避免--privileged）、及时更新内核与Docker版本、禁用危险挂载、启用用户命名空间隔离、部署安全监控工具（如Falco）以及遵循最小化镜像原则，企业应定期进行安全审计并建立容器逃逸应急响应机制。

Docker作为当前最流行的容器化技术之一,凭借其轻量级、高效和可移植性，广泛应用于开发、测试和生产环境，随着Docker的普及，安全问题也日益凸显，其中Docker逃逸（Docker Escape）是最为严重的威胁之一，Docker逃逸指的是攻击者通过漏洞或错误配置，从容器内部突破隔离机制，获取宿主机的控制权限，本文将深入探讨Docker逃逸的原理、常见攻击方式以及如何有效防御此类威胁。

---

Docker逃逸的基本原理

Docker利用Linux内核的命名空间（Namespaces）和控制组（Cgroups）技术实现进程隔离，但默认情况下，容器与宿主机共享内核，如果攻击者能够利用内核漏洞或Docker配置缺陷，就可能突破隔离限制，执行逃逸攻击。

1 容器与虚拟机的安全差异

• 虚拟机（VM）：基于Hypervisor实现硬件虚拟化，每个VM运行独立的内核，安全性较高。
• 容器（Container）：共享宿主机内核，依赖Linux安全机制（如Seccomp、AppArmor、SELinux），隔离性较弱。

由于容器共享内核,一旦内核存在漏洞（如CVE-2021-22555、CVE-2022-0185），攻击者可能利用这些漏洞逃逸到宿主机。

2 Docker逃逸的主要途径

1. 内核漏洞利用：如dirtypipe（CVE-2022-0847）、dirtycow（CVE-2016-5195）。
2. Docker配置错误：如启用--privileged（特权模式）、挂载敏感目录（/proc、/sys）。
3. 容器逃逸工具：如CDK（Container DucK Toolkit）、gVisor逃逸漏洞。
4. 共享命名空间攻击：如通过--net=host共享网络命名空间，导致网络探测攻击。

---

常见的Docker逃逸攻击方式

1 特权容器逃逸

如果容器以--privileged模式运行，攻击者可以：

docker run --privileged -it ubuntu /bin/bash

在容器内挂载宿主机文件系统：

mkdir /mnt/host
mount /dev/sda1 /mnt/host

然后直接修改宿主机文件（如/etc/passwd）。

防御措施：

• 避免使用--privileged，改用--cap-add仅授予必要权限。
• 使用--security-opt=no-new-privileges防止提权。

2 挂载敏感目录逃逸

如果容器挂载了/proc、/sys或宿主机目录：

docker run -v /:/host -it ubuntu /bin/bash

攻击者可以：

chroot /host

获取宿主机shell。

防御措施：

• 避免挂载敏感目录,或使用ro（只读）模式：

  docker run -v /:/host:ro -it ubuntu /bin/bash

3 内核漏洞逃逸

利用CVE-2022-0847（dirtypipe）：

# 在容器内编译并运行漏洞利用代码
./dirtypipe-exploit /etc/passwd

该漏洞允许低权限用户覆盖只读文件,从而提权。

防御措施：

• 定期更新内核和Docker版本。
• 使用gVisor或Kata Containers增强隔离。

4 共享命名空间逃逸

如果容器共享宿主机网络（--net=host），攻击者可探测宿主机服务：

nmap -sS 127.0.0.1

甚至利用宿主机漏洞（如Redis未授权访问）。

防御措施：

• 避免使用--net=host，改用bridge网络模式。
• 限制容器网络访问（--iptables=false）。

---

如何防御Docker逃逸？

1 安全最佳实践

1. 最小权限原则：
   • 避免使用--privileged。
   • 使用--cap-drop=ALL移除所有权限，再按需添加（如--cap-add=NET_ADMIN）。
2. 只读文件系统：

   docker run --read-only -it alpine sh

3. 启用安全模块：
   • AppArmor：限制容器进程访问资源。
   • Seccomp：过滤危险系统调用（如mount、ptrace）。
4. 限制资源访问：
   • 使用Cgroups限制CPU、内存。
   • 禁止容器访问宿主机设备（--device=/dev/null）。

2 监控与审计

• 使用Falco监控异常容器行为（如mount、chroot）。
• 定期审计容器日志（docker logs）和/var/log/audit/audit.log。

3 使用更安全的容器运行时

• gVisor：Google开发的用户态内核，增强隔离。
• Kata Containers：基于虚拟机的容器，提供更强的安全性。

---

Docker逃逸是容器安全中的重大威胁,攻击者可能通过内核漏洞、错误配置或共享资源突破隔离，企业应遵循最小权限原则，启用安全模块，并定期更新Docker和内核版本，结合监控工具（如Falco）和更安全的运行时（如gVisor），可以有效降低逃逸风险。

随着容器技术的发展（如eBPF、机密计算），Docker逃逸的防御手段将更加成熟，但安全意识仍然是保障系统安全的第一道防线。