以root用户身份运行的Docker的安全性

当您以root身份运行时，可以访问范围更广的内核服务。例如，您可以：

• *** 纵网络接口，路由表，netfilter规则；
• 创建原始套接字（通常来说，是“外来”套接字，使用比良好的旧TCP和UDP受到更少审查的代码）；
• 挂载/卸载/重新挂载文件系统；
• 更改文件所有权，权限，扩展属性，覆盖常规权限（即，使用略有不同的代码路径）；
• 等等

（有趣的是，所有这些示例均受功能保护。）

关键是，以root身份，您可以练习更多的内核代码。如果该代码中存在漏洞，则可以以root用户身份（而非普通用户）触发它。

此外，如果有人找到了突破容器的方法，那么如果您以root身份突破，显然比普通用户造成的损失要大得多。