我正在尝试在 docker 容器中运行一个应用程序。该应用程序需要 root 权限才能运行。
sudo docker run --restart always --network host --cap-add NET_ADMIN -d -p 53:53/udp my-image
我的问题是:将 NET_ADMIN 功能与 --network 主机选项一起添加时有什么风险。
如果攻击者可以以某种方式从我的应用程序中获得一些代码执行,那么他是否拥有无限的权力,因为我以 root 身份运行它,还是他只能访问内核的网络部分?如果是这样,他的攻击面会是什么(换句话说,他能否仅使用 NET_ADMIN 功能集在我的主机操作系统上获得 root 权限?)