Docker与容器安全

最新推荐文章于 2023-07-11 18:30:57 发布
最新推荐文章于 2023-07-11 18:30:57 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: 容器 文章标签: 虚拟化技术 虚拟化

Docker与容器安全

Docker能否大规模用于生产环境,尤其是公有云环境,就在于Docker是否能提供安全的环境。本文将总结《Docker容器与容器云》一书3.9节『Docker与容器安全』的主要内容,包括Docker现有安全机制、存在的安全问题以及Docker安全增强三个方面。

1. Docker的安全机制

1.1 Docker daemon安全

  • Docker向外界服务提供了四种通信方式,默认是以Unix域套接字的方式来与客户端通信,这种方式较TCP形式更为安全。
  • Docker也提供了TLS传输层安全协议,通过--tlsverify(安全传输校验),--tlscacert(信任证书)、--tlskey(服务器或者客户端秘钥)、--tlscert(证书位置)来配置。

1.2 镜像安全

  • Docker registry镜像库访问控制

    • Docker daemon第一次启动时,通过公网(Amazon CDN)载入official.json包,饮食公共image和用户image的目录以及数字签名信息。
    • official.json在Docker daemon启动时加载到MemoryGraph,MemoryGraph用于存储公钥以及命名之间的授权映射,默认授权节点对授权空间有读写权限。

  • 镜像校验和

    • 镜像校验和用来保证镜像的完整性,以预防可能出现的镜像破环。
    • 目前Docker对于镜像校验和和验证失败不采取任何措施,仅输出警告信息

1.3 内核安全

  • 内核为容器提供了两种技术cgroup和namespace,分别对容器进行资源限制和资源隔离。
    • 容器本质是进程,cgroup用来限制容器的资源使用量,避免单个容器耗尽系统资源。
    • namespace用来隔离容器与宿主机,以及不同的容器。
    • Docker目前仅完整支持uts、ipc、pid、network、mount这5种ns,user ns尚未完全支持。
    • 系统资源未进行隔离,如/proc,/sys、SELinux、time、syslog、/dev设备信息等均未进行隔离。

1.4 容器之间的网络安全

  • Docker可通过iptabls设定规则实现禁止或允许容器之间的通信。

1.5 Docker容器Capability限制

  • 容器的行为通过Linux超级用户分组限制,具体包括了CHOWN、DAC_OVERRIDe、FSETID、FOWNER、MKNOD、NET_RAW、SETGID、SETUID、SETFCAP、SETPCAP、NET_BIND_SERVICE、SYS_CHROOT、KILL和AUDIT_WRITE。
  • Docker进程的Capability可通过docker run命令的参数进行配置

2. Docker安全问题

2.1 磁盘资源限制问题

  • Docker容器通过镜像层叠的方式来构建容器内的文件系统,本质上还是在宿主机文件系统的目录(/var/lib/docker)下存储文件。
  • 极有可能出现一个容器将宿主机上所有的磁盘空间耗尽,导致其它容器无法存储文件,所以有必要对容器的磁盘使用量进行限制。

2.2 容器逃逸问题

  • Docker使用操作系统进行虚拟化,共享内核、内存、CPU以及磁盘,易造成容器逃逸问题。
  • Docker1.0之后采用白名单来限制容器的能力,会给出默认的容器Capability清单,禁止容器拥有清单之外的Capability。

2.3 容器DoS攻击与流量限制问题

  • 公有云基于虚拟化技术实现,攻击数据包可能不需要通过物理网卡就可以攻击同一个宿主机下的其他容器,传统Dos预防措施无法适用容器之间的攻击。
  • 默认的Docker容器连接在网桥上,通过veth pari技术创建网卡,其一端在容器内命名为eth0,另一张网上驻留在宿主机环境之中。
  • 同一宿主机下所有容器共用一张物理网卡,如果一个容器抢占大部分带宽,会影响其它容器使用。

2.4 超级权限问题

  • docker run时加入--privileged参数能使容器获得所有的超级用户权限能力,并将所有的宿主机的所有设备挂载到容器内。

3. Docker安全的解决方案

3.1 SELinux

  • SELinux三种控制方式
    • Type Enforcement: 主要的访问控制机制。
    • Role-Based Access Control(RBAC):基于SELinux用户的权限控制手段。
    • Multi-Level Security(MLS): 多级分类安全,指定level标签。
  • 为什么要在Docker中使用SELinux
    • SELinux将所有进程和文件打上标签,而容器以进程方式运行,所以控制进程如何访问资源,也就是限制容器如何去访问资源。
    • SELinux策略是全局的,它不是针对具体用户设定,而是强制整个系统遵循。
    • 减少提权攻击风险。

3.2 user namespace

  • 容器的超级用户权限通过ns映射到宿主机是一个普通用户。
  • 容器被恶意程序攻击,所做的也就是这个普通用户的权限,而非宿主机的超级权限。

3.3 磁盘限额

  • Docker仅对Device Mapper文件系统的限额提供了--storage-opt参数进行限制。
  • cgroup没有对磁盘进行限制,Linux磁盘限额技术主要基于用户和文件系统。
  • 可能的解决方案
    • 所有用户共有宿主机的一块磁盘,限制用户在磁盘上的使用量来限定容器的磁盘使用量。
    • 选择支持目录限额的文件系统,如XFS。
    • Docker定期检查每一个容器磁盘使用量,会对性能造成影响。
    • 创建虚拟文件系统,些文件系统仅供某一个容器使用。

3.4 容器流量限制

  • Docker没对容器的网络带宽做限制。
  • 可以采用Traffic Controller容器对容器网卡流量进行限制,一定程序上减少容器Dos攻击危害。

3.5 GRSecurity内核安全增强工具

  • Docker容器共享宿主机的内存,在内存安全上存在不少问题,需要针对内存破坏做防御。
  • GRSecurity是一个对内核的安全扩展,通过智能访问控制来阻止内存破坏,预防0day漏洞。

3.6 fork炸弹

  • fork炸弹以极快速度创建大量进程,以此消耗系统资源,使系统无法运行新程序,现有进程运行速度放缓。
  • 容器本身在内核层面隔离性不足,fork bomb会给容器带来灾难性影响。
  • fork bomb受到社区关注(Issue 6479),但目前还没有完美解决方案。
  • Docker无法使用ulimit来限制forkbomb问题,因为一个宿主机用户可能同时启动多个容器,无法对每个容器做进程数的限制。

4. 总结

Docker自身已经提供了不少安全机制,但Docker目前仍然只适于运行可信应用程序(内部使用),如果需要运行任意代码,安全很难得到保证。在日常应用中,还可以通过SELinux、GRSecurity、seccomp等工具来增强容器安全。

s1070
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[读书笔记]Docker容器安全
ThinkHY的专栏
03-28 4699
Docker能否大规模用于生产环境,尤其是公有云环境,就在于Docker是否能提供安全的环境。本文将总结《Docker容器容器云》一书3.9节『Docker容器安全』的主要内容,包括Docker现有安全机制、存在的安全问题以及Docker安全增强三个方面。
Docker 容器最佳安全实践白皮书.pdf
08-03
Docker 容器最佳安全实践白皮书
Docker容器权限问题
weixin_43936332的博客
06-03 3325
我们在Docker的使用过程中,常常面临一种困扰,即进入Docker容器后,很多命令都没有权限执行,如下所示:从上图中可以看出,尽管我们的Docker容器显示自己的身份是root,但是依旧有很多命令我们无法执行。下面,我就来给大家提供一下这种问题的解决方法。
docker权限设置:让非root用户可以操作docker--》附带:linux新增用户添加root权限
热门推荐
白骨梦儿
08-04 2万+
一、首先在linux下创建新用户 #创建用户username adduser username #修改用户username的密码 passwd username 二、为用户添加root权限 方法一:修改 /etc/sudoers 文件,找到下面一行,把前面的注释(#)去掉 Allows people in group wheel to run all commands %wheel ALL=(ALL) ALL 然后修改用户,使其属于root组(wheel),命令如下: #usermod -
docker数据卷权限管理--理论和验证
jialiu111111的博客
07-11 2579
当"es"用户的进程访问"/docker/elasticsearch-7.4.2/data"目录时,没有root权限,会出现 Permission denied的问题。1.3、如果在容器内对挂载目录下的文件进行了操作,则相应文件的所有者就会升级为root,如果容器中只有非root用户的权限,就无法对这些文件进行操作了。如果在容器内对挂载目录下的文件进行了操作,则相应文件的所有者就会升级为root,如果容器中只有非root用户的权限,就无法对这些文件进行操作了。我们查看挂载数据卷时候的目录权限和当前用户。
Docker详解(十二)——Docker容器权限问题
永远是少年
04-19 2万+
今天继续给大家介绍Linux运维相关知识,本文主要内容是Docker容器权限问题。 一、Docker容器权限问题概述 二、Docker容器权限问题解决 (一)Docker权限问题 (二)systemctl命令无权执行解决
浅谈Docker容器安全.pdf
08-08
镜像安全 配置安全 网络安全 最佳实践
安全分析」浅谈Docker容器安全 - 安全研究.zip
11-27
安全分析」浅谈Docker容器安全 - 安全研究 安全建设 安全运营 零信任 渗透测试 WEB应用防火墙
docker安全管理
04-26
虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立 虚拟机,每个虚拟机都有自己的系统内核 ...而 docker 容器与宿主机共享内核、文件系统等资源, 更有可能对其他容器、宿主机产生影响。
生产环境中安全运行Docker容器
09-30
本文是一篇译文,给大家详细介绍如何在生产环境中安全运行Docker容器,有需要的小伙伴可以参考下
用户及权限管理
You_are_my_zing的博客
07-05 718
1.1.2 添加权限 新创建的用户并不能使用sudo命令,需要给他添加授权。方式一:visudo - 安全地编辑 sudoers 文件需要超级用户权限; 默认编辑/etc/sudoers文件; sudoers文件的默认权限是440,即默认无法修改; visudo可以在不更改sudoers文件权限的情况下,直接修改sudoers文件;命令格式 方式二:(1)添加sudoers文件可写权限 (2)修改sudoers文件。 (3)在 sudoers 文件添加新用户信息到 ## Allow root
Docker安全
yunxi115的博客
06-13 1593
(文件描述符:简称fd,当应用程序请求内核打开/新建一个文件时,内核会返回 一个文件描述符用于对应这个打开/新建的文件,文件描述符本质上就是一个非负整数,读写文件也是需要使用这个文件 描述符来指定待读写的文件的。文件描述符是一个重要的系统资源,理论上系统内存多大就应该可以打开多少个文件描述符,但是实际情况是,内核会有系统级限制,以及用户级限制,不让某一个应用程序进程消耗掉所有的文件资源,可以使用ulimit -n 查看)如果证书验证通过,就会生成一个随机的密钥对,用证书的公钥加密。
Linux fork炸弹以及预防办法
m0_60352504的博客
07-10 1830
fork炸弹是什么? fork炸弹以极快的速度创建大量进程(进程数呈以2为底数的指数增长趋势),并以此消耗系统分配予进程的可用空间使进程表饱和,而系统在进程表饱和后就无法运行新程序,除非进程表中的某一进程终止;但由于fork炸弹程序所创建的所有实例都会不断探测空缺的进程槽并尝试取用以创建新进程,因而即使在某进程终止后也基本不可能运行新进程。fork炸弹生成的子程序在消耗进程表空间的同时也会占用CPU和内存,从而导致系统与现有进程运行速度放缓,响应时间也会随之大幅增加,以致于无法正常完成任务,从而使系统的正常
docker 容器权限设置
myli92的博客
10-23 7035
Dcoker容器在使用的过程中,默认的docker run时都是以普通方式启动的,有的时候是需要使用在容器中使用iptables进行启动的,这时候就需要开启权限,只需要在docker run时增加参数默认run容器的情况下,查看iptables都是不允许的:iptables -nL有的时候,我们有需求进行网络设置,即入站、出站网络端口设置,我们可以在启动容器的时候增加相应的权限
浅谈Docker安全性支持(上篇)
dzqxwzoe的博客
02-09 158
说起进程数限制,大家可能都知道ulimit的nproc这个配置,nproc是存在坑的,与其他ulimit选项不同的是,nproc是一个以用户为管理单位的设置选项,即他调节的是属于一个用户UID的最大进程数之和。Namespace为运行中进程提供了隔离,限制他们对系统资源的访问,而进程没有意识到这些限制,为防止容器内的特权升级攻击的最佳方法是将容器的应用程序配置为作为非特权用户运行,对于其进程必须作为容器中的 root 用户运行的容器,可以将此用户重新映射到 Docker 主机上权限较低的用户。
docker 中遇到fork/exec /bin/sh: operation not permitted错误
qq_41763749的博客
05-21 3727
Docker中运行fork的go程序时 /* UTS Namespace主要用来隔离nodename和domainname两个系统标识。在UTS namespace里,每个namespace允许有自己的hostname。 系统API 中的clone()创建新的进程。根据填入的参数来判断哪些namesapce会被创建,而且它们的子进程也会被包含到这些namespace中。 */ package main import ( "os/exec" "syscall" "os" "log" ) fun
docker 容器无root 权限,如何获得docker容器里面的root权限
七爷OK
11-10 1万+
首先你的container得正在运行。 可通过sudo docker container ls查看容器的CONTAINER ID 最后执行命令(其中848669a8722b为上面查到的CONTAINER ID) sudo docker exec -ti -u root 848669a8722b bash 如何获得docker容器里面的root权限 ...
docker权限问题
磨镜台的博客
06-02 1286
如果还没有 docker group 就添加一个: :~$sudo groupadd docker 将用户加入该 group 内。然后退出并重新登录就生效啦。 :~$sudo gpasswd -a ${USER} docker 重启 docker 服务 :~$systemctl restart docker 切换当前会话到新 group 或者重启 X 会话 :~$newgrp - docker ...
Docker容器中的root权限获取
第一行代码
09-29 9379
有一些操作是经常需要进入到docker容器中操作的,例如突然需要修改某个配置文件等,但是修改该文件是需要root权限,可以参考下面的解决方案 通常修改文件时会提示:read-only file system 或者 Permission denied 挂载配置文件 在运行docker容器时,可以将该配置文件复制一份到宿主机,然后run的时候,加载-v参数,将宿主机的配置文件挂载到docker...
docker容器容器云 pdf
最新发布
07-18
与传统的虚拟化技术相比,Docker容器更加灵活、高效,能够快速部署和扩展应用。 容器云(Container Cloud)是建立在云计算基础上的一种基于容器技术的云平台。它能够自动化管理和部署大规模的容器集群,提供资源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值