docker run--cap-add=SYS_ADMIN 这样容器内部就被赋予linux下的SYS_ADMIN权限了。 对比没有赋权限的容器和赋了SYS_ADMIN权限的容器的操作差别: 无SYS_ADMIN权限下执行mount命令: 有SYS_ADMIN权限下执行mount命令: 可以看出来赋值SYS_ADMIN的就可以执行SYS_ADMIN提供的mount的特权操作。 总结 特权操作有利有弊,安全...
Linux kernel 中发现一个新的安全漏洞CVE-2022-0185。由于Linux内核"File System Context"组件中的一个堆缓存溢出漏洞,攻击者利用该漏洞可以实现越界写、权限提升、DoS 和任意代码执行。使用非特权的命名空间或使用 unshare进入含有 CAP_SYS_ADMIN 权限的命名空间。Docker seccomp 默认拦截unshare命令,所以运行该命令一...
1. CAP_NET_ADMIN: 允许对网络配置进行修改。 2. CAP_SYS_ADMIN: 允许执行系统管理任务,如加载模块、挂载文件系统等。 3. CAP_SYS_PTRACE: 允许跟踪进程和检查其内存。 4. CAP_DAC_OVERRIDE: 允许忽略文件权限检查。 通过分配这些capabilities,可以在不牺牲系统安全性的前提下允许用户或者程序执行特定的操作。例...
使用运行时默认Seccomp配置限制Pod使用unshare系统调用,具体配置方法如下: 4. 谨慎部署privileged特权容器,谨慎给Pod添加CAP_SYS_ADMIN内核能力。CAP_SYS_ADMIN虽只是众多capabilities中的一种,但其代表的权限略高,据《CAP_SYS_ADMIN: the new root》[16]中介绍,许多开发者会在授权capability时不知道如何细分,最终选择...
5.2.1 查找已启用的有趣功能 – CAP_SYS_ADMIN 5.2.2 确认 AppArmor 未加载 5.3 使用工具寻找 Docker 突破口 – LinPEAS 5.3.1 找到很多关于容器的好信息 5.4 使用 release_agent Breakout 2 方法突破非特权容器 0、前言 在本文中,我们将探索使用 Docker 突破技术在目标 Linux 主机上提升权限。
CAP_SYS_PACCT: 允许执行进程的BSD式审计 CAP_SYS_ADMIN: 允许执行系统管理任务,如加载或卸载文件系统、设置磁盘配额等 CAP_SYS_BOOT: 允许重新启动系统 CAP_SYS_NICE: a.允许提升自己的优先级和设置其他进程的优先级;b.允许设置自己的RT调度策略和将其它线程设置为RT线程;c.允许设置其它线程的cpu亲和性 ...
攻击者需要使用非特权的命名空间或使用unshare 来进入含有CAP_SYS_ADMIN 权限的命名空间。该功能并不是Docker环境的默认设置,在启动容器时使用"–privileged"并不常见。而且Docker的"seccomp"过滤会默认拦截unshare命令,所以运行该命令一般是不允许的。 在Kubernetes集群中使用docker时,seccomp过滤默认是禁用的。在Kubernetes...
身份切换方式一:su 该命令可以将身份切换至指定账户,但需要输入该账户的密码。 su [-lm] [-c 命令...
Now root - the "new" root, really—is predicated on the (overloaded) capability bit CAP_SYS_ADMIN being set.(基于 (重载)能力位 CAP_SYS_ADMIN 被设置。 CAP_SYS_ADMIN: the new root the set*id() system calls can be arbitrarily used to set real/effective IDs once the CAP_SETUID capabil...
CAPNETADMIN 允许执行网络管理任务 CAPNETBIND_SERVICE 允许绑定到小于 1024 的端口 CAPNETBROADCAST 允许网络广播和多播访问 CAPNETRAW 允许使用原始套接字 CAP_SETGID 允许改变进程的 GID CAP_SETFCAP 允许为文件设置任意的 capabilities CAP_SETPCAP 参考capabilities man page CAP_SETUID 允许改变进程的 UID CAPSYS...