在什么情况下需要进行docker逃逸

Docker逃逸是指攻击者从受限制的Docker容器内部突破隔离，获得宿主机权限或访问宿主机资源的过程。以下情况可能导致或需要进行Docker逃逸分析：

1. 安全配置不当

• 特权模式运行容器：
  docker run --privileged 使容器拥有宿主机内核的大部分能力，可通过挂载宿主机目录、直接访问设备等方式逃逸。
• 危险挂载：
  将宿主机敏感目录（如/、/etc、/var/run/docker.sock）挂载到容器内，可能通过修改宿主机文件或访问Docker Socket逃逸。
• Capabilities过度授权：
  赋予容器SYS_ADMIN、SYS_MODULE等能力，允许执行系统级操作（如挂载文件系统、加载内核模块）。

2. 内核漏洞利用

• 容器与宿主机共享内核：
  利用Linux内核漏洞（如Dirty Cow、CVE-2022-0847）突破命名空间隔离。
• Namespace逃逸漏洞：
  如CVE-2022-0492（cgroups漏洞）、CVE-2016-5195（Dirty Cow）可能被用于容器逃逸。

3. Docker组件漏洞

• Docker守护进程漏洞：
  如CVE-2019-5736（runc漏洞）、CVE-2021-30465（runC符号链接逃逸），可导致从容器控制宿主机进程。
• Docker API未授权访问：
  暴露Docker API（2375端口）且无认证时，攻击者可远程创建恶意容器实现逃逸。

4. 容器内敏感信息泄露

• 环境变量泄露敏感信息：
  通过docker inspect查看容器环境变量，可能暴露密钥、凭据等。
• 日志信息泄露：
  容器日志可能包含宿主机路径、内核版本等逃逸所需信息。

5. 恶意镜像风险

• 第三方镜像后门：
  恶意镜像可能包含逃逸脚本或漏洞利用程序。
• 镜像构建漏洞：
  Dockerfile中不当操作（如添加敏感文件）可能被攻击者利用。

6. 资源隔离绕过

• 共享命名空间逃逸：
  容器与宿主机共享PID、IPC、Net等命名空间（如--pid=host）时，可能通过/proc文件系统访问宿主机进程。
• cgroups配置错误：
  错误配置cgroups可能允许容器消耗宿主机资源或执行逃逸。

防御与检测场景

• 渗透测试与红队演练：
  在授权范围内测试容器安全性，验证隔离有效性。
• 安全审计：
  检查容器配置、镜像、运行时环境是否存在逃逸风险。
• 入侵检测：
  监控容器内异常行为（如加载内核模块、访问/proc敏感文件）。

注意事项

• 合法授权：
  逃逸测试需在授权环境中进行，避免非法入侵。
• 最小权限原则：
  运行容器时应遵循最小权限，避免使用--privileged、危险挂载等配置。
• 及时更新：
  定期更新Docker版本、内核及依赖组件，修复已知漏洞。

通过识别上述风险场景，可针对性加固容器环境，防止逃逸攻击。