首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    docker实战入门(3)基本概念

    docker的镜像是一个层叠的只读文件系统,最底端是一个引导文件系统(bootfs),这很像典型的linux的引导文件系统,docker用户几乎永远不会和引导文件系统有交互,实际上当一个容器启动后将会被移动到内存中,而引导文件系统将会被卸载。而docker镜像的第二层是root文件系统(rootfs),root文件系统可以是一种或者多种操作系统,比如ubuntu或者centos,在传统的文件系统中,root文件系统会最先以只读的方式加载,当引导结束并完成完整性检查之后它才会被切换到读写模式。但是在docker中,rootfs永远是只读状态。 并且docker利用联合加载技术(union mount)又会在rootfs之上加载更多的只读文件系统。联合加载指的是一次同时加载多个文件系统,但是在外面看起来只能看到一个文件系统,联合加载会将各层文件系统叠加在一起,这样最终的文件系统会包含所有的底层文件和目录,docker将这样的文件系统称为镜像。

    010

    Docker

    Docker 是一个开源的应用容器引擎,基于 Go 语言 并遵从 Apache2.0 协议开源。Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口(类似 iPhone 的 app),更重要的是容器性能开销极低。什么是沙箱:Sandboxie(又叫沙箱、沙盘)即是一个虚拟系统程序,允许你在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的影响。 在网络安全中,沙箱指在隔离环境中,用以测试不受信任的文件或应用程序等行为的工具。

    02

    CVE-2018-14847:一个能修复自己的RouterOS漏洞

    2018年10月7日,来自全球知名高科技网络安全公司Tenable的安全研究人员Jacob Baines针对CVE-2018-14847[2]发布了一段新的概念验证(PoC)代码[1],实现了在受漏洞影响的MikroTik路由器上的远程代码执行。我们第一时间对PoC进行了研究,目前我们对漏洞利用的部分改进已经合入了Tenable的Github仓库[7]。本文将对CVE-2018-14847目录穿越漏洞成因进行分析,同时阐述我们的一些发现,如何通过受此漏洞影响的Winbox指令进行任意文件上传,从而实现一些更有趣的利用方式。我们能够利用CVE-2018-14847在RouterOS 6.42中触发后门shell,或在其他漏洞的配合下,通过在LD_LIBRARY_PATH中注入动态链接库的方法,对存在漏洞的可执行文件进行热补丁修复。我们还将在文章中介绍一种“修改”只读文件系统修复漏洞的方法。

    01
    领券