ProHoster > Blog > netfréttir > 19.4% af efstu 1000 Docker gámunum innihalda tómt rótarlykilorð
19.4% af efstu 1000 Docker gámunum innihalda tómt rótarlykilorð
Jerry Gamblin ákvað að komast að því hversu útbreidd þessi nýgreinda vandamál í Docker myndum af Alpine dreifingunni, sem tengist því að tilgreina tómt lykilorð fyrir rótarnotandann. Greining á þúsundum af vinsælustu gámunum úr Docker Hub vörulistanum sýndi, hvað í 194 af þessum (19.4%) er tómt lykilorð stillt fyrir root án þess að læsa reikningnum (“root:::0:::::” í stað “root:!::0:::::”).
Ef ílátið notar shadow og linux-pam pakkana, notaðu tómt rót lykilorð gerir auka réttindi þín inni í gámnum ef þú hefur forréttinda aðgang að gámnum eða eftir að hafa nýtt sér veikleika í óforréttindum sem keyrir í gámnum. Þú getur líka tengst gámnum með rótarréttindum ef þú hefur aðgang að innviðum, þ.e. getu til að tengjast í gegnum flugstöðina við TTY sem tilgreint er í /etc/securetty listanum. Innskráning með auðu lykilorði er læst í gegnum SSH.