验证docker的Redis镜像也存在未授权访问漏洞

        看到了这篇老外的博客：Over 30% of Official Images in Docker Hub Contain High Priority Security Vulnerabilities于是，结合最近爆出的redis未授权访问导致可远程获得服务器权限漏洞，在docker容器中验证官方pull的镜像是否存在漏洞。

       我的docker安装在centos7的虚拟机中，版本1.9，redis镜像从官方pull ubuntu/redis，首先启动redis容器：

      Kali虚拟机中登录存在漏洞的redis容器，写入ssh公钥

  

       进入redis容器，查看写入的公钥：

成功写入。

PS：由于docker默认桥接网络模式，所以kali无法直接ssh  redis容器，这里只成功写入了密钥，ssh连接没有成功。要想实现外部主机对容器的访问，可将容器的桥接模式自定义和宿主机一个网段（可使用pipework），或网络模式设置为host模式以实现互联，此时ssh应该就能访问redis容器了。