Open1
『基礎から学ぶコンテナセキュリティ――Dockerを通して理解するコンテナの攻撃例と対策』の学習記録
MasaHero1章:コンテナ型仮想化とは
VMとコンテナの違い
- VM
- OSの上にOSが乗る
- 分離レベルが高い
- コンテナ
- OSの上にプロセスが乗る
- VMと比較して分離レベルが低い
- ゲストからホストへのエスケープが可能(攻撃が可能)
- VMと比較してオーバーヘッドが少なく、起動が速い
コンテナで実行したプロセスはホストから見れる
docker run --rm -it -d ubuntu sleep 10
Unable to find image 'ubuntu:latest' locally
latest: Pulling from library/ubuntu
1f6304731171: Pull complete
Digest: sha256:99c35190e22d294cdace2783ac55effc69d32896daaa265f0bbedbcde4fbe3e5
Status: Downloaded newer image for ubuntu:latest
ae19e12c341bc0aef0ccc617ab48d15f610ed78711eb28729accdf5bdf496f8d
ps aux | grep sleep
masahero 97008 0.0 0.0 410724096 1344 s005 S+ 9:16PM 0:00.00 grep sleep
図1-4.MacOSだとカーネルバージョンは一致していない?
uname -a
Darwin 192.168.0.27 23.5.0 Darwin Kernel Version 23.5.0: Wed May 1 20:14:38 PDT 2024; root:xnu-10063.121.3~5/RELEASE_ARM64_T6020 arm64
docker run --rm -it fedora:38 bash
Unable to find image 'fedora:38' locally
38: Pulling from library/fedora
ae9448aa32b5: Pull complete
Digest: sha256:b9ff6f23cceb5bde20bb1f79b492b98d71ef7a7ae518ca1b15b26661a11e6a94
Status: Downloaded newer image for fedora:38
[root@652ded77f3e4 /]# uname -a
Linux 652ded77f3e4 6.10.11-linuxkit #1 SMP Thu Oct 3 10:17:28 UTC 2024 aarch64 GNU/Linux