2024年网络安全最新Docker安全,714页PDF的鸿蒙学习笔记

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

在这里插入图片描述

因篇幅有限,仅展示部分资料

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

[root@server2 ~]# docker run -it --rm --cpu-quota 20000 ubuntu
root@b42d93b2364b:/# dd if=/dev/zero of=/dev/null &

我们可以再重新开一个终端,使用top查看一下cpu占用率是不是百分之二十
在这里插入图片描述
测试两个cpu的争抢问题,如果你是两个cpu的话首先先关掉一个cpu
echo 0 > /sys/devices/system/cpu/cpu1/online

[root@server2 ~]# docker run -it --rm ubuntu
root@d6cb959714c5:/# dd if=/dev/zero of=/dev/null &
[1] 9        
ctrl+p+q退出,然后重新开个交互                      
root@d6cb959714c5:/# [root@server2 ~]# docker run -it --rm ubuntu
root@5594429c2d0b:/# dd if=/dev/zero of=/dev/null

我们看到两个dd进程cpu占用个百分之五十
在这里插入图片描述
退出刚才第二次启用的交互,下面我们可以加一个限制cpu的参数,重新进去,再次查看top中cpu占用情况

[root@server2 ~]# docker run -it --rm  --cpu-shares 512 ubuntu     ##设置优先级,优先级比原来少了一半
root@1ed8bb0e9c41:/# dd if=/dev/zero of=/dev/null

在这里插入图片描述

2.内存限制

容器可用内存包括两个部分:物理内存和swap交换分区。
docker run -it --memory 200M --memory-swap=200M ubuntu
–memory设置内存使用限额
–memory-swap设置swap交换分区限额

docker run -it --memory 200M --memory-swap=200M ubuntu
[root@server2 ~]# cd /sys/fs/cgroup/memory/docker/

在这里插入图片描述
在这里插入图片描述

3.Block IO限制

docker run -it --device-write-bps /dev/sda:30MB ubuntu
–device-write-bps限制写设备的bps
目前的block IO限制只对direct IO有效。(不使用文件缓存)

[root@server2 ~]# docker run -it --device-write-bps /dev/vda:30MB ubuntu
root@4fe58c95548e:/# dd if=/dev/zero of=bigfile bs=1M count=100 oflag=direct
100+0 records in
100+0 records out
104857600 bytes (105 MB, 100 MiB) copied, 3.31646 s, 31.6 MB/s
root@4fe58c95548e:/# 

在这里插入图片描述

三、docker安全加固

1.利用LXCFS增强docker容器隔离性和资源可见性

链接:LXCFS包提取码: thc4

[root@server2 ~]# yum install lxcfs-2.0.5-3.el7.centos.x86_64.rpm -y
[root@server2 ~]# lxcfs /var/lib/lxcfs &            ##运行
[root@server2 lxcfs]# docker run  -it -m 256m \
>       -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
>       -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
>       -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
>       -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
>       -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
>       -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
>       ubuntu

在这里插入图片描述

2.设置特权级运行的容器

–privileged=true
有的时候我们需要容器具备更多的权限,比如操作内核模块,控制swap交换分区,挂载USB磁盘,修改MAC地址等。

[root@server2 ~]# docker run -it --rm --privileged=true busybox

我们知道添加ip是超户才能执行的。
在这里插入图片描述

3.设置容器白名单

–cap-add
–privileged=true 的权限非常大,接近于宿主机的权限,为了防止用户的滥用,需要增加限制,只提供给容器必须的权限。此时Docker 提供了权限白名单的机制,使用–cap-add添加必要的权限。
capabilities手册地址:
http://man7.org/linux/man-pages/man7/capabilities.7.html

[root@server2 ~]# docker run -it --rm --cap-add=NET_ADMIN busybox
/ # ip link set down eth0
/ # ip link set up eth0

在这里插入图片描述

4.安全加固的思路

  • 保证镜像的安全

    • 使用安全的基础镜像
    • 删除镜像中的setuid和setgid权限
    • 启用Docker的内容信任
    • 最小安装原则
    • 对镜像进行安全漏洞扫描,镜像安全扫描器:Clair
    • 容器使用非root用户运行
  • 保证容器的安全

    • 对docker宿主机进行安全加固
    • 限制容器之间的网络流量
    • 配置Docker守护程序的TLS身份验证
    • 启用用户命名空间支持(userns-remap)
    • 限制容器的内存使用量
    • 适当设置容器CPU优先级

5.docker安全的遗留问题

主要的内核子系统都没有命名空间,如:

  • SELinux
  • cgroup
  • 在/sys下的文件系统
  • /proc/sys, /proc/sysrq-trigger, /proc/irq, /proc/bus

设备没有命名空间:

  • /dev/mem

学习路线:

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
在这里插入图片描述

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

  • 18
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
当谈到Docker学习笔记时,我可以为你提供一些基本的指导和主题,以帮助你开始学习Docker。以下是一些可能涵盖的主题: 1. Docker简介:了解Docker的基本概念、优势以及它如何与虚拟化技术不同。 2. Docker安装:学习如何在不同的操作系统上安装Docker,并熟悉Docker引擎的组成部分。 3. Docker镜像:了解Docker镜像的概念,以及如何通过构建、拉取和推送镜像来管理和共享容器环境。 4. Docker容器:学习如何创建、启动、停止和删除容器,并了解容器和主机之间的交互方式。 5. Docker网络:探索Docker网络模式,包括桥接网络、主机网络和覆盖网络,并理解容器之间以及容器与主机之间的通信方式。 6. Docker存储:了解Docker存储技术,包括数据卷和绑定挂载,并学习如何在容器中持久化数据。 7. Docker Compose:介绍Docker Compose工具,它可以用于定义和运行多个容器的应用程序。 8. Docker Swarm:探索Docker Swarm,它是Docker官方的容器编排和集群管理工具,于在多个主机上部署和管理容器应用。 9. Docker和持续集成/持续部署(CI/CD):了解如何将Docker与CI/CD工具(如Jenkins、GitLab CI等)集成,以简化应用程序的构建和部署过程。 这只是一些可能的主题,你可以根据自己的需求和兴趣来选择学习内容。希望这些指导可以帮助你开始学习Docker!如果你有任何特定的问题,我很乐意回答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值