前回に続いて、分析を実践していきます。今回は、コンテナが乗っ取られた場合の被害の分析です。
図1(B)の段階の分析を例とともに紹介します。題材として取り上げるのは第4回でも紹介したコンテナです。第4回でコンテナからホストのカーネルログへのアクセスは許可されていないところは確認しましたが、ホストのファイルへのアクセスはどうなのでしょうか。今回は、コンテナがホストのどのファイルに書き込みアクセスを許可されているのか分析します。これにより、コンテナに脆弱性があり悪用された場合、ホストのどのファイルが破壊される危険性が把握できます。
ファイルへのアクセス許可分析はやや複雑で図2のような手順に従って分析していきます。
(1)対象ドメインを選定
攻撃された場合のインパクトを分析したいプロセスのドメインを選定します。psコマンドのZオプションで調べると、今回は、コンテナに付与される「svirt_lxc_net_t」ドメインが対象となります。