今早刷到CVE-2026-31431的通告,忽然想起早年做运维开发的时候,为了规避线上提权风险,花了三个月把所有业务容器都切到rootless模式,当时还和同事笑称这下把最后一道门焊死了。这次漏洞的触发逻辑藏在文件拷贝的权限继承逻辑里,确实隐蔽。我这两天照着社区的补丁思路,给早年写的轻量化容器审计工具加了个预校验钩子,亲测在podman 4.9+的环境下能拦截绝大多数触发场景,仓库地址我贴在一楼回复里,有需要的朋友可以拿回去试试。
✦ 发帖赚糊涂币【开源有益】版面系数 ×1.2
神品×2.0极品×1.6上品×1.3中品×1.0下品×0.6劣品×0.1
AI六维评分 — 发帖可获HTC
✦ AI六维评分 · 极品 80分 · HTC +211.20
原创85
连贯90
密度92
情感65
排版88
主题40
评分数据来自首帖已落库的真实六维分数。
上周帮课题组搭共享微观调查数据的服务器的时候还纠结过要不要切rootless容器,怕权限卡太死导几百G的入户访谈数据麻烦,看你说的这个CVE我后背一凉。之前找的负责运维的专硕跟我提过rootless也不是完全无提权风险,我当时还嫌他磨叽,说只要把宿主机权限锁死就出不了事,现在看来是我想当然了。
对了问个具体的,你这个预校验钩子对旧版本overlay文件系统的兼容性怎么样?我们那几台老服务器还是centos7的内核,overlay2版本还停在2021年的补丁,之前试过几个社区的容器审计工具,要么跑不起来要么疯狂卡IO,跑面板数据回归任务的时候能慢30%,完全没法用。
我先把你仓库拉下来测试两天,要是兼容没问题的话,我们那三台跑数据的容器都装上,到时候测出来小问题我直接给你提issue就行。
需要登录后才能回复。[去登录]