Docker 主机上有权访问 docker 组或具有 sudo docker 命令权限的用户实际上是 root（因为您可以执行诸如使用 docker 运行特权容器或将根文件系统挂载到容器内的操作），这就是它的原因控制该权利非常重要。

将 Docker 容器突破到主机是一个不同的游戏，取决于许多因素，难度或多或少会有所不同。可能的载体包括：-

• 内核漏洞。在主机上运行的容器与主机共享相同的内核，因此如果内核中存在可用于将容器突破到主机的可利用问题
• 配置不好。如果您有权访问的容器正在运行，--privileged您很可能能够访问底层主机。
• 挂载的文件系统。如果您拥有的容器挂载了主机文件系统，您可能会更改该文件系统中的项目，从而允许您将权限提升到主机。
• 安装的 Docker 插座。Docker 容器中一个相对常见（也很危险）的做法是将 docker 套接字挂载到容器内，以允许容器了解 docker 守护进程的状态。这允许对主机进行微不足道的突破。更多信息在这里

如果您正在寻找更多信息，我会推荐 NCC 的这些白皮书。 滥用特权和非特权 Linux 容器以及了解和强化 Linix 容器。我还做了一个演示，其中涵盖了这里的一些内容。

如果您对 Docker 强化感兴趣，我还建议您查看CIS 安全标准。

用正常的手段，没有。Docker 是根据这个安全概念特意设计的。

它使用内核的命名空间功能将容器中运行的进程与主机上运行的进程分开。如果找到方法，它会被视为安全漏洞，并会尽快关闭。

尽管可能存在系统范围的配置设置。最典型的是，docker 容器可以运行SYS_ADMIN，这本质上意味着它们能够更改 IP 地址，以及许多其他在主机上通常可用的功能。如果一个容器使用 运行SYS_ADMIN，它本质上并没有像在 chroot 中运行的任务那样受到更多的保护。

尽管此配置主要用于 docker 容器作为服务运行时，例如 Linux 服务器上的守护程序。在普通笔记本电脑上，按照预期用途，一切都默认运行。如果不是这样，docker 用户将不得不信任他们正在使用的所有容器开发人员。现在他们只需要信任 docker 开发人员。

在 Windows 版本的 docker 上，即使这样也不够。Windows docker 使用 HyperV 启动 Linux VM，并在此 Linux VM 中运行 docker 容器。从容器中突围仅意味着此 VM 的 root 权限，要突围到客户端，您还必须在 HyperV 中找到一个漏洞。