我遇到了安全团队的问题,因为工程团队想要在Docker中挂载文件系统,但是为了实现这一点,必须设置"--cap-add SYS_ADMIN"标志。安全团队不允许使用此标志。
在互联网上我找到了很多关于在Docker运行时使用"--cap-add SYS_ADMIN"标志需要谨慎的文章,因为"仅凭SYS_ADMIN就授予了相当大的能力范围,并且可能会呈现更多的攻击面。"
然而,我找不到任何明确说明这些能力是什么以及它们会呈现哪些"攻击面"的文章?
SYS_ADMIN标志到底授予了什么?
设置此标志存在什么实际的安全风险?
在互联网上我找到了很多关于在Docker运行时使用"--cap-add SYS_ADMIN"标志需要谨慎的文章,因为"仅凭SYS_ADMIN就授予了相当大的能力范围,并且可能会呈现更多的攻击面。"
然而,我找不到任何明确说明这些能力是什么以及它们会呈现哪些"攻击面"的文章?
SYS_ADMIN标志到底授予了什么?
设置此标志存在什么实际的安全风险?
CAP_SYS_ADMIN
特权的正在运行的Docker容器以某种方式访问运行此容器的系统,您能否举个例子说明如何应用此特权? - goulashsoup