漏洞缓解
cgroups-lxcfs-escape-mitigation
缓解 cgroups & lxcfs 逃逸。
Description
若用户将宿主机的 cgroupfs 挂载进容器,或使用 lxcfs 为容器提供资源视图。在这两种场景下可能存在容器�逃逸风险,攻击者可以在容器内改写 cgroupfs 实施容器逃逸。
此规则也可用于防御 CVE-2022-0492 漏洞利用。
Principle & Impact
AppArmor Enforcer 阻止在容器内修改:
/\*\*/release_agent/\*\*/devices/device.allow/\*\*/devices/\*\*/device.allow/\*\*/devices/cgroup.procs/\*\*/devices/\*\*/cgroup.procs/\*\*/devices/task/\*\*/devices/\*\*/task
BPF Enforcer 阻止在容器内修改:
/\*\*/release_agent/\*\*/devices.allow/\*\*/cgroup.procs/\*\*/devices/tasks
Supported Enforcer
- AppArmor
- BPF
runc-override-mitigation
缓解通过改写 runc 实现的容器逃逸。
Description
本策略用于缓解通过改写宿主机 runc 从而实现容器逃逸的漏洞,例如 CVE-2019-5736。
Principle & Impact
禁止改写 /**/runc 文件。
Supported Enforcer
- AppArmor
- BPF
dirty-pipe-mitigation
缓解利用 Dirty Pipe 漏洞实现的容器逃逸。
Description
本策略用于防御利用 CVE-2022-0847 (Dirty Pipe) 漏洞进行容器逃逸的攻击,您可以使用此规则在升级内核前对容器进行加固。
注:尽管禁用 splice 系统调用可能会对一些软件包产生问题,但对大多数合法应用来说都不会产生影响,因为这个系统调用的使用相对罕见。
Principle & Impact
禁止调用 splice syscall。
Supported Enforcer
- Seccomp