Con los medios normales, no. Docker fue diseñado intencionalmente en este concepto de seguridad.
Utiliza la funcionalidad de espacio de nombres del kernel para separar los procesos que se ejecutan en un contenedor de los que se ejecutan en el host. Si se encuentra una forma, se considerará como un agujero de seguridad y se cerrará lo antes posible.
Aunque podría haber ajustes de configuración de todo el sistema. En general, los contenedores de la ventana acoplable pueden ejecutarse con SYS_ADMIN
, lo que esencialmente significa que son capaces de cambiar las direcciones IP y muchas otras funciones que normalmente están disponibles en la máquina host. Si un contenedor se ejecuta con SYS_ADMIN
, en realidad no está más protegido como una tarea que se ejecuta en chroot.
Aunque esta configuración se usa principalmente si un contenedor de ventana acoplable se ejecuta como un servicio, como un demonio en un servidor Linux. En las computadoras portátiles normales, como su uso previsto, todo se ejecuta de forma predeterminada. Si no fuera así, los usuarios de la ventana acoplable tendrían que confiar en todos los desarrolladores de contenedores que están utilizando. Ahora solo tienen que confiar en los desarrolladores de la ventana acoplable.
En la versión de Windows de la ventana acoplable, incluso esto no sería suficiente. La ventana acoplable de Windows inicia una máquina virtual de Linux con HyperV y ejecuta los contenedores de la ventana acoplable en esta máquina virtual de Linux. Salir de un contenedor solo significaría un permiso de root en esta máquina virtual, para salir del cliente que tenía que encontrar un agujero también en el HyperV.