daemon daock اجرا می شود با دسترسی ریشه، اما ظروف درون آن اجرا می شود، حتی آنهایی که کاربر فعلی ( دستور USER را در فایل Dockerfile خود تنظیم نمی کند) با دسترسی محدودی اجرا می شود.
همچنین می تواند برخی از توانایی ها را برای جدا شدن آن ها از سطح حمله کاهش دهد. و هرگز ظروف غیر قابل اعتماد را با امتیاز داده نخواهید شد. .
اگر یک ظرف با ریشه (درون ظرف) اجرا شود، و برخی از حجم را نشان می دهد، آن را به عنوان ریشه به دسترسی خواهد داشت. بنابراین این نقطه دیگر برای جلوگیری است.
در اینجا مثال docker run --rm -it -v '/: / mnt' debian: 9.2 cat / mnt / etc / shadow دسترسی به / به عنوان ریشه، به این معنی است که می تواند فایل های باینری را آلوده کند، به فایل / etc / shadow شما دسترسی داشته باشد، اضافه / حذف / تغییر رمز کاربر و غیره … [19659002] مرجع کامل: https://docs.docker.com/engine/security/security/#conclusions
