Podman 루트리스 컨테이너와 Copy Fail 익스플로잇

Podman Rootless 환경 내 Page Cache 변조를 통한 컨테이너 간 권한 상승 차단

neo2026년 5월 6일2분advanced

AI 요약

Context

Podman Rootless 환경에서 User Namespace와 Capability 설정만으로는 Page Cache 쓰기 권한 제어에 한계가 있음. OverlayFS 베이스 이미지 파일의 페이지 변조를 통해 동일 사용자 권한의 타 컨테이너로 공격이 전이되는 구조적 취약점 존재.

Technical Solution

Page Cache 직접 쓰기를 통한 OverlayFS 베이스 이미지 변조 가능성 식별
Rootless 구성 및 User Namespace가 제공하는 격리 수준의 실효성 한계 분석
Host 내 동일 사용자가 실행한 컨테이너 간 데이터 공유로 인한 공격 표면 확장 확인
socket(AF_ALG, ...) 시스템 호출을 차단하는 seccomp 정책 적용을 통한 원천적 익스플로잇 방어 설계
워크로드 성격에 따른 비권한 사용자 분리 및 VM 기반의 강력한 격리 계층 도입

실천 포인트

1. Rootless Podman 사용 시 단순 사용자 분리를 넘어 seccomp 프로파일을 통한 불필요한 System Call 차단 여부 검토

2. 고위험 워크로드의 경우 컨테이너 격리가 아닌 VM 수준의 하드웨어 가상화 분리 적용

3. 동일 사용자 계정으로 다수 컨테이너 운영 시 Page Cache 공유로 인한 상호 간섭 가능성 평가

태그

#Rootless #Seccomp #OverlayFS #Podman #User Namespace

원문 읽기