Docker по умолчанию предоставляет root-доступ к контейнерам.
Контейнер может повредить вашу систему хоста , только если вы обойдете механизмы изоляции контейнера Docker, в противном случае единственный ущерб может быть нанесен самому контейнеру, а не хосту.
Простейшие способы сломать механизмы изоляции следующие:
с использованием Dockers 'bind mounts, когда вы отображаете путь хоста в путь контейнера. В этом случае этот путь может быть полностью очищен изнутри контейнера. Избегайте привязывания монтирования (используйте тома) или монтирования в режиме ro, чтобы избежать этого
с использованием сети, особенно network=host гарантирует контейнерный доступ ко всем активным сетевым службам хоста и, таким образом, делает хост уязвимым для атак на них. В этом случае вы можете подключиться к службам, которые локально связаны (127.0.0.1/localhost), таким образом, не ожидая удаленных подключений, и в результате могут быть менее защищены.