给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[root@server2 ~]# docker run -it --rm --cpu-quota 20000 ubuntu
root@b42d93b2364b:/# dd if=/dev/zero of=/dev/null &
我们可以再重新开一个终端,使用top查看一下cpu占用率是不是百分之二十
测试两个cpu的争抢问题,如果你是两个cpu的话首先先关掉一个cpu
echo 0 > /sys/devices/system/cpu/cpu1/online
[root@server2 ~]# docker run -it --rm ubuntu
root@d6cb959714c5:/# dd if=/dev/zero of=/dev/null &
[1] 9
ctrl+p+q退出,然后重新开个交互
root@d6cb959714c5:/# [root@server2 ~]# docker run -it --rm ubuntu
root@5594429c2d0b:/# dd if=/dev/zero of=/dev/null
我们看到两个dd进程cpu占用个百分之五十
退出刚才第二次启用的交互,下面我们可以加一个限制cpu的参数,重新进去,再次查看top中cpu占用情况
[root@server2 ~]# docker run -it --rm --cpu-shares 512 ubuntu ##设置优先级,优先级比原来少了一半
root@1ed8bb0e9c41:/# dd if=/dev/zero of=/dev/null
2.内存限制
容器可用内存包括两个部分:物理内存和swap交换分区。
docker run -it --memory 200M --memory-swap=200M ubuntu
–memory设置内存使用限额
–memory-swap设置swap交换分区限额
docker run -it --memory 200M --memory-swap=200M ubuntu
[root@server2 ~]# cd /sys/fs/cgroup/memory/docker/
3.Block IO限制
docker run -it --device-write-bps /dev/sda:30MB ubuntu
–device-write-bps限制写设备的bps
目前的block IO限制只对direct IO有效。(不使用文件缓存)
[root@server2 ~]# docker run -it --device-write-bps /dev/vda:30MB ubuntu
root@4fe58c95548e:/# dd if=/dev/zero of=bigfile bs=1M count=100 oflag=direct
100+0 records in
100+0 records out
104857600 bytes (105 MB, 100 MiB) copied, 3.31646 s, 31.6 MB/s
root@4fe58c95548e:/#
三、docker安全加固
1.利用LXCFS增强docker容器隔离性和资源可见性
链接:LXCFS包提取码: thc4
[root@server2 ~]# yum install lxcfs-2.0.5-3.el7.centos.x86_64.rpm -y
[root@server2 ~]# lxcfs /var/lib/lxcfs & ##运行
[root@server2 lxcfs]# docker run -it -m 256m \
> -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
> -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
> -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
> -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
> -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
> -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
> ubuntu
2.设置特权级运行的容器
–privileged=true
有的时候我们需要容器具备更多的权限,比如操作内核模块,控制swap交换分区,挂载USB磁盘,修改MAC地址等。
[root@server2 ~]# docker run -it --rm --privileged=true busybox
我们知道添加ip是超户才能执行的。
3.设置容器白名单
–cap-add
–privileged=true 的权限非常大,接近于宿主机的权限,为了防止用户的滥用,需要增加限制,只提供给容器必须的权限。此时Docker 提供了权限白名单的机制,使用–cap-add添加必要的权限。
capabilities手册地址:
http://man7.org/linux/man-pages/man7/capabilities.7.html
[root@server2 ~]# docker run -it --rm --cap-add=NET_ADMIN busybox
/ # ip link set down eth0
/ # ip link set up eth0
4.安全加固的思路
-
保证镜像的安全
- 使用安全的基础镜像
- 删除镜像中的setuid和setgid权限
- 启用Docker的内容信任
- 最小安装原则
- 对镜像进行安全漏洞扫描,镜像安全扫描器:Clair
- 容器使用非root用户运行
-
保证容器的安全
- 对docker宿主机进行安全加固
- 限制容器之间的网络流量
- 配置Docker守护程序的TLS身份验证
- 启用用户命名空间支持(userns-remap)
- 限制容器的内存使用量
- 适当设置容器CPU优先级
5.docker安全的遗留问题
主要的内核子系统都没有命名空间,如:
- SELinux
- cgroup
- 在/sys下的文件系统
- /proc/sys, /proc/sysrq-trigger, /proc/irq, /proc/bus
设备没有命名空间:
- /dev/mem
学习路线:
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!