- 使用Docker容器的核心是Docker服务端,确保只有可信的用户才能访问到Docker服务。
- 将容器的root用户映射到本地主机上的非root用户,减轻容器和主机之间因权限提升而引起的安全问题。
- 允许Docker 服务端在非root权限下运行,利用安全可靠的子进程来代理执行需要特权权限的操作。这些子进程只允许在特定范围内进行操作。
5.其他安全特性
- 在内核中启用GRSEC和PAX,这将增加更多的编译和运行时的安全检查;并且通过地址随机化机制来避免恶意探测等。启用该特性不需要Docker进行任何配置。
- 使用一些有增强安全特性的容器模板。
- 用户可以自定义更加严格的访问控制机制来定制安全策略。
- 在文件系统挂载到容器内部时,可以通过配置只读模式来避免容器内的应用通过文件系统破坏外部环境,特别是一些系统运行状态相关的目录。
二、容器资源控制
Linux Cgroups 的全称是 Linux Control Group。
是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等等。
对进程进行优先级设置、审计,以及将进程挂起和恢复等操作。
Linux Cgroups 给用户暴露出来的操作接口是文件系统。
它以文件和目录的方式组织在操作系统的 /sys/fs/cgroup 路径下。
执行此命令查看:mount -t cgroup
在 /sys/fs/cgroup 下面有很多诸如 cpuset、cpu、 memory 这样的子目录,也叫子系统。
在每个子系统下面,为每个容器创建一个控制组(即创建一个新目录)。
控制组下面的资源文件里填上什么值,就靠用户执行 docker run 时的参数指定。
1.CPU限额
cpu_period 和 cpu_quota 这两个参数需要组合使用,用来限制进程在长度为 cpu_period 的一段时间内,只能被分配到总量为 cpu_quota 的 CPU 时间,以下设置表示20%的cpu时间。
[root@server2 ~]# docker run -it --rm --cpu-quota 20000 ubuntu
root@b42d93b2364b:/# dd if=/dev/zero of=/dev/null &
我们可以再重新开一个终端,使用top查看一下cpu占用率是不是百分之二十
测试两个cpu的争抢问题,如果你是两个cpu的话首先先关掉一个cpu
echo 0 > /sys/devices/system/cpu/cpu1/online
[root@server2 ~]# docker run -it --rm ubuntu
root@d6cb959714c5:/# dd if=/dev/zero of=/dev/null &
[1] 9
ctrl+p+q退出,然后重新开个交互
root@d6cb959714c5:/# [root@server2 ~]# docker run -it --rm ubuntu
root@5594429c2d0b:/# dd if=/dev/zero of=/dev/null
我们看到两个dd进程cpu占用个百分之五十
退出刚才第二次启用的交互,下面我们可以加一个限制cpu的参数,重新进去,再次查看top中cpu占用情况
[root@server2 ~]# docker run -it --rm --cpu-shares 512 ubuntu ##设置优先级,优先级比原来少了一半
root@1ed8bb0e9c41:/# dd if=/dev/zero of=/dev/null
2.内存限制
容器可用内存包括两个部分:物理内存和swap交换分区。
docker run -it --memory 200M --memory-swap=200M ubuntu
–memory设置内存使用限额
–memory-swap设置swap交换分区限额
docker run -it --memory 200M --memory-swap=200M ubuntu
[root@server2 ~]# cd /sys/fs/cgroup/memory/docker/
3.Block IO限制
docker run -it --device-write-bps /dev/sda:30MB ubuntu
–device-write-bps限制写设备的bps
目前的block IO限制只对direct IO有效。(不使用文件缓存)
[root@server2 ~]# docker run -it --device-write-bps /dev/vda:30MB ubuntu
root@4fe58c95548e:/# dd if=/dev/zero of=bigfile bs=1M count=100 oflag=direct
100+0 records in
100+0 records out
104857600 bytes (105 MB, 100 MiB) copied, 3.31646 s, 31.6 MB/s
root@4fe58c95548e:/#
三、docker安全加固
1.利用LXCFS增强docker容器隔离性和资源可见性
链接:LXCFS包提取码: thc4
[root@server2 ~]# yum install lxcfs-2.0.5-3.el7.centos.x86_64.rpm -y
[root@server2 ~]# lxcfs /var/lib/lxcfs & ##运行
[root@server2 lxcfs]# docker run -it -m 256m \
> -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
> -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
> -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
> -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
> -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
> -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
> ubuntu
2.设置特权级运行的容器
–privileged=true
有的时候我们需要容器具备更多的权限,比如操作内核模块,控制swap交换分区,挂载USB磁盘,修改MAC地址等。
[root@server2 ~]# docker run -it --rm --privileged=true busybox
我们知道添加ip是超户才能执行的。
3.设置容器白名单
–cap-add
–privileged=true 的权限非常大,接近于宿主机的权限,为了防止用户的滥用,需要增加限制,只提供给容器必须的权限。此时Docker 提供了权限白名单的机制,使用–cap-add添加必要的权限。
capabilities手册地址:
http://man7.org/linux/man-pages/man7/capabilities.7.html
[root@server2 ~]# docker run -it --rm --cap-add=NET_ADMIN busybox
/ # ip link set down eth0
/ # ip link set up eth0
4.安全加固的思路
-
保证镜像的安全
- 使用安全的基础镜像
- 删除镜像中的setuid和setgid权限
- 启用Docker的内容信任
- 最小安装原则
- 对镜像进行安全漏洞扫描,镜像安全扫描器:Clair
- 容器使用非root用户运行
-
保证容器的安全
- 对docker宿主机进行安全加固
- 限制容器之间的网络流量
- 配置Docker守护程序的TLS身份验证
- 启用用户命名空间支持(userns-remap)
- 限制容器的内存使用量
- 适当设置容器CPU优先级
5.docker安全的遗留问题
主要的内核子系统都没有命名空间,如:
- SELinux
- cgroup
- 在/sys下的文件系统
- /proc/sys, /proc/sysrq-trigger, /proc/irq, /proc/bus
设备没有命名空间:
- /dev/mem
- /dev/sd*文件系统设备
- 内核模块
如果你能沟通或攻击的其中之一作为特权的过程中,你可以拥有自己的系统。
6.总结
本章节讲解了docker的安全现状,虽然还是有很多没有完善的地方,但不能否认docker依然是当前最安全的容器技术。
Docker安全的顶尖开源工具:
- Docker Bench for Security 对照安全基准审计Docker容器的脚本
- Clair API驱动的静态容器安全分析工具,拥有庞大的CVE数据库
- Cilium 内核层可感知API的网络和安全工具
- Anchore 使用CVE数据和用户定义的策略检查容器安全的工具
- OpenSCAP Workbench 用于为各种平台创建和维护安全策略的环境
- Dagda 用于在Docker容器中扫描漏洞、特洛伊木马、病毒和恶意软件的工具
- Notary 使用服务器加强容器安全的框架,用于以加密方式委派责任
- Sysdig Falco 提供了行为活动监控,可深入了解容器