容器服务

对手可能会创建或修改在单个主机上作为守护进程、代理或服务运行的容器或容器集群管理工具。这些工具包括用于创建和管理单个容器的软件，如 Docker 和 Podman，以及容器集群节点级代理，如 kubelet。通过修改这些服务，对手可能能够在主机上实现持久性或提升其权限。 例如，通过使用带有 restart=always 指令的 docker run 或 podman run 命令，可以将容器配置为在主机上持久重启。(引用: AquaSec TeamTNT 2023) 具有（root）docker 命令访问权限的用户也可能能够在主机上提升其权限。(引用: GTFOBins Docker) 在 Kubernetes 环境中，DaemonSets 允许对手在所有节点上持久性地部署容器，包括后来添加到集群中的节点。(引用: Aquasec Kubernetes Attack 2023)(引用: Kubernetes DaemonSet) 可以使用 pod 规范中的 nodeSelector 或 nodeName 字段将 Pod 部署到特定节点。(引用: Kubernetes Assigning Pods to Nodes)(引用: AppSecco Kubernetes Namespace Breakout 2020) 请注意，容器也可以配置为作为Systemd 服务运行。(引用: Podman Systemd)(引用: Docker Systemd)