这是一个创建于 1931 天前的主题,其中的信息可能已经有所发展或是发生改变。
我们的容器平台有个在 web 端进入到 pod 里的功能,其实跟在阿里云 web 页面连虚拟机一个意思。现在想禁止一些危险的操作,比如 mv rm cp sh bash 等,我的思路是连 pod 时,直接 alias 禁止一些危险操作,后来发现可以通过使用绝对路径绕过去,比如 /use/bin/rm xxx 这样就可以绕过 alias rm=“echo denied”。最好这种限制对容器没有侵入,比如不要改 /etc/profile 或者.bash_profile 等,而且最好退出容器这个限制就消失,不要影响别的用户。大家有啥思路?
 | 1 visitant 2020-07-11 13:48:13 +08:00 为什么不每个用户起个新的容器 |
 | 2 ipwx 2020-07-11 13:52:16 +08:00 每个用户新的容器。。? |
| 4 ipwx 2020-07-11 14:32:52 +08:00 setuid setgid? 好像这俩 posix 调用可以从 root 进程降权。 |
 | 5 aapeli 2020-07-11 14:40:35 +08:00 via iPhone 定制一个 shell |
 | 6 zhoudaiyu OP PRO @ipwx 进去的时候是就是普通用户,但是还是能乱搞出一些问题,虽然说容器可以随时销毁重建吧,但是也是有可能搞事情 |
 | 8 dingwen07 2020-07-11 15:13:08 +08:00 via iPhone 破坏的骚操作可多了 比如限制了删除那就重定向覆盖 所以可以试试看从保护文件入手 限制权限和配置 ACL 之类的 而不只是阻止用户 |
 | 10 abowloflrf 2020-07-11 15:39:10 +08:00 via iPhone 一个思路,进入容器不直接在那个容器里启 shell 进程,而是在同一节点新启动一个容器然后指定要 attach 到目标容器的哪些 namespace,还可以另外指定运行 user 等,达到一些隔离或者权限限制的目的。当然还要看你具体需求,进入容器的需求和具体限制什么操作。 |
 | 11 tolerance 2020-07-11 17:26:55 +08:00 搞个不存在危险指令的容器(容器里把 mv 、rm 、cp 这些删除),用户登录启动这个容器 |
 | 12 rmb1222 2020-07-11 17:51:42 +08:00 via Android 只要是正常的 shell 都无解 就算你把 bin 下的文件全删了 echo 一个 busybox 就能直接复活。。。 |
 | 13 zmxnv123 2020-07-11 20:14:27 +08:00 构建一个没有这些执行文件的镜像? |
Select Language