Con mezzi normali, no. Docker è stato intenzionalmente progettato su questo concetto di sicurezza.
Utilizza la funzionalità namespace del kernel per separare i processi in esecuzione in un contenitore da quelli in esecuzione su host. Se fosse trovato un modo, sarebbe considerato come un buco di sicurezza e sarebbe chiuso al più presto.
Anche se potrebbero esserci impostazioni di configurazione a livello di sistema. In genere, i contenitori docker possono essere eseguiti con SYS_ADMIN
, il che significa essenzialmente che sono in grado di cambiare gli indirizzi IP e molte altre funzioni disponibili normalmente sul computer host. Se un contenitore viene eseguito con SYS_ADMIN
, in sostanza non è più protetto come attività in esecuzione in chroot.
Sebbene questa configurazione sia utilizzata principalmente se un contenitore docker viene eseguito come un servizio, come un daemon su un server Linux. Nei laptop normali, come previsto, tutto viene eseguito come predefinito. Se non fosse così, gli utenti di docker dovrebbero avere fiducia in tutti gli sviluppatori di container che stanno utilizzando. Ora devono fidarsi solo degli sviluppatori della finestra mobile.
Sulla versione Windows della finestra mobile, anche questo non sarebbe sufficiente. La finestra mobile di Windows avvia una macchina virtuale Linux con HyperV e esegue i contenitori finestra mobile in questa macchina virtuale Linux. Scoppiare da un contenitore significherebbe solo un permesso di root su questa VM, per irrompere nel client è stato necessario trovare un buco anche in HyperV.