docker学习_10(Docker 安全)

最新推荐文章于 2024-10-30 23:13:12 发布
最新推荐文章于 2024-10-30 23:13:12 发布
阅读量235 收藏
点赞数
分类专栏: docker 文章标签: Docker  linux Daemon  安全 API

Docker 安全

安全问题必须要被高度重视,无论是开发环境还是生产环境。如今 Docker 已经被部署在越来越多的地方,Docker 作为项目和平台的安全性也越来越要被重视。

因此,本系列教程关键的第五章用来讨论 Docker 可能面临的安全问题以及它们是如何影响到 Docker 整体的安全性的。但并不是说 Docker 本身不安全:Docker 是建立在 LXC 的基础上的,因此 Docker 继承了 LXC 绝大部分安全优势。

前文中提到 docker run 是用来运行容器的,那么 docker run 之后到底发生了什么?

  1. docker run 命令初始化

  2. Docker 调用 lxc-start 命令。

  3. lxc-start 创建一系列的 namespaces 和 CGroups 进行资源限制。

namespace 是虚拟化的第一层,用于容器以及容器内之间互相隔离。所有的容器都有独立的网络栈、一个容器也无法访问到另一个容器的 Socket 端口。如果你希望容器之间通过网络互访的话,就要开启 Docker 的端口映射功能,或者为容器指定公网 IP。

CGroup 有如下的特点:

  1. 资源计数和资源控制。

  2. 限制内存、CPU、IO 和网络使用。

  3. 试图解决 Dos 攻击问题。

  4. 更适用于多用户、多进程的系统。

对于 namespace 和 CGroups 不熟悉的童鞋可以参考这么几篇文章:
Docker 基础技术:Linux Namespace(上)
Docker 基础技术:Linux Namespace(下)
Docker 基础技术:Linux CGroup

Docker Daemon 的攻击层面

Docker daemon 使用 root 权限运行,肯定需要有许多地方需要特别注意,例如:

  1. 如果 Docker 容器有权限访问宿主机的话,那么要特别小心,Docker 进程的控制权只能给授权用户。举个极端的例子:容器内部的 UID=0 如果对容器外部某个不明程序执行了 chmod +s

  2. REST API 也支持 UNIX socket,从而避免了 XSS 攻击。

  3. REST API 的 HTTP 端口(如果有的话)只能对可信的网络、VPN、IP 开放。

  4. 在服务器上运行 Docker 时需要与其他服务隔离。

一些必要的安全措施包括:

  1. 使用非特权用户运行容器。

  2. Apparmor,SELinux,grsec 都可以当成是一层额外的安全加固。

  3. 可以使用其他容器系统的安全功能。

Docker.io API

本图中列举了几个用于维护和授权的安全性 Docker API。

clipboard.png

关于Docker安全的一点调研
^_^
07-01 574
一个课程作业的报告 文章目录DOCKER架构及组件DOCKER 安全威胁镜像安全威胁网络安全威胁容器安全威胁内核安全威胁DOCKER安全防御镜像安全防御容器安全防御网络安全防御内核安全防御总结与思考 DOCKER架构及组件 提到Docker安全,那么首先就要从Docker的整个架构来入手。Docker是基于Client/Server模式来设计的,主要部分分为Docker Client、Docker DaemonDocker Registry组成的。Docker Client为用户提供了很多操作的接口.
5 docker 安全
xiaoliuliu2050的专栏
12-03 389
安全问题必须要被高度重视,无论是开发环境还是生产环境。如今 Docker 已经被部署在越来越多的地方,Docker 作为项目和平台的安全性也越来越要被重视。 因此我们来讨论 Docker 可能面临的安全问题以及它们是如何影响到 Docker 整体的安全性的?  但并不是说 Docker 本身不安全Docker 是建立在 LXC 的基础上的,因此 Docker 继承了 LXC 绝大部分
通过暴露的Docker API渗透容器:AESDDoS僵尸网络恶意软件分析
systemino的博客
07-02 687
在当今的互联网中,错误配置已经不是一个新鲜的话题。然而,网络犯罪分子正持续将其作为一种行之有效的方式来获取组织的计算机资源,并进而将其用于恶意目的,由此导致了一个非常值得关注的安全问题。在本篇文章中,我们将详细介绍一种攻击类型,其中流行的DevOps工具Docker Engine-Community的开源版本中存在一个API配置错误,允许攻击者渗透容器,并运行恶意软件变种。该变种源自Linux僵尸...
使用docker、ovs、sFlow、floodlight验证DDoS攻击以及缓减
tzk
11-23 1607
1、搭建环境 搭建一个简单的实验环境,hacker攻击某一网络中的web服务器,web服务与交换机s1相连,此外s1也作为sflow的代理sflow agent,并且受控于floodlight控制器,如下如图所示: 搭建流程:使用docker、ovs虚拟化技术分别模拟出hacker、web,使用floodlight、sflow collector的docker镜像进行试验,搭建详细步骤如下,具体见注释 //创建hacker、web docker run -itd --network=none --n
安全防护与配置
weixin_33738578的博客
03-21 151
Docker是基于Linux操作系统实现的应用虚拟化。运行在容器内的进程,跟运行在本地系统中的进程本质上并无区别,配置不合适的安全策略将可能给本地系统带来安全风险。因此,Docker安全性在生产环境中是十分关键的衡量因素。 Docker容器的安全性,很大程度上依赖于Linux系统自身。目前,在评估Docker安全性时,主要考虑下面几个方面: Lin...
docker网络冲突解决(修改docker_gwbridge网段)
龙叔运维的博客
05-28 6277
有一次 所以需要调整黑鸭服务器docker的网桥 docker_gwbridge 的网段 【1】查看网桥:docker network inspect docker_gwbridge (找到使用网桥的服务) 【2】关连接:docker network disconnect -f docker_gwbridge gateway_ingress-sbox(断掉使用网桥的服务) 【3】删除: docker network rm docker_gwbridge(删除网桥)...
docker java_opts_docker run容器 设置 jvm 运行springboot 程序
weixin_42237925的博客
02-28 6615
首先dockerfile中需要设置一个变量比如我Dockerfile内容FROM openjdk:8-jre-alpineVOLUME/tmpADD *.jar app.jarENV TZ=PRCRUN ln-snf /usr/share/zoneinfo/$TZ /etc/localtime && echo $TZ > /etc/timezone#设置变量 JAVA_OPT...
Docker学习笔记
三明治文鱼的博客
05-02 3535
文章目录1. 简介1.1 什么是Docker1.2 Docker起源1.3 优势1.4 Docker和虚拟机区别1.5 核心架构和概念1.镜像 (Image)是什么为什么这么大UnionFS镜像底层原理(了解即可)2.容器 (Container)3.仓库 (Repository)4.DockerFile5.tar6.数据卷(Docker Volume)1.6 执行流程2. 使用2.1 Docker引擎安装a. Macb. Centos7.x安装docker(centos7.x)bash安装(通用所有平台)2
docker 注册表_设置docker注册表和docker regui
weixin_26729165的博客
08-31 2083
docker 注册表In this story, we will install Docker Registry on a VM and the cloud and we will add a Docker container to browser the registries from a web browser. From my side, I created an ECS instance ...
Docker技术_docker logs 相关命令
lkr
04-23 2302
Docker技术_docker logs 相关命令 1、docker logs 相关指令参数 2、案例
Linux下DOS攻击学习教程
WannaCry_reboot
04-08 1117
1.启动实验系统: 2.选择Not listed? 手动输入root帐号密码:root/123456 3.点击sign登录 4.在桌面右键 open terminal: 5.在DDOS实验之前,先设置一下docker容器所能使用的CPU、内存资源上限,以免DDOS的时候容器将虚拟主机的资源全部占用,导致虚拟主机崩溃。 首先启动docker服务: ...
Docker入门教程(五)Docker安全
dengximo9047的博客
03-08 115
Docker入门教程(五)Docker安全 【编者的话】DockOne组织翻译了Flux7的Docker入门教程,本文是系列入门教程的第五篇,介绍了Docker安全问题,依然是老话重谈,入门者可以通过阅读本文快速了解。我们必须高度重视开源软件的安全问题,当开发者在使用Docker时,从本地构建应用程序到生产环境部署是没有任何差异的(译者注:作者的言外之意是更应该重视Doc...
对比DoS攻击与DDoS攻击
Sunny_Future的博客
12-02 3761
DoS攻击概述 DoS是 Denial of Service 的简称,即拒绝服务,造成拒绝服务的攻击行为被称为DoS攻击。 拒绝服务攻击是指一个用户占据了大量资源的共享资源,使系统没有剩余的资源给其他用户提供服务的一种攻击方式。 这种攻击方式可以出现在任何一个平台之上。 常见的DoS攻击:计算机网络带宽攻击(以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过...
Docker 所有版本都中招,重大漏洞允许攻击者访问主机文件系统
weixin_34414650的博客
05-31 1115
毫不夸张的说,所有的 Docker 版本都存在同一个漏洞,这个漏洞可以让攻击者获得主机服务器上所有路径的读写访问权限。据了解,之所以会出现该漏洞,主要是因为 Docker 软件处理某些符号链接的方式,而这些符号链接中往往会包含有到其他目录或文件的路径的文件。 1.事件回溯 研究员 Aleksa Sarai 发现,在某些情况下,攻击者可以在路径解析时间和操作时间之间的短时间窗口将自己的符号链接插...
Linux特种文件系统--tmpfs文件系统
刘元林的博客
10-29 1026
tmpfs类似于RamDisk(只能使用物理内存),使用虚拟内存(简称VM)子系统的页面存储文件。tmpfs完全依赖VM,遵循子系统的整体调度策略。说白了tmpfs跟普通进程差不多,使用的都是某种形式的虚拟内存,至于数据存储在物理内存中还是在交换分区中,全权交由VM子系统。定义: 是一个基于内存的文件系统,它在 RAM 中存储数据,因此访问速度非常快。用途: 通常用于存储临时文件,这些文件不需要永久保存,而且频繁读写。使用 可以减少对物理磁盘的磨损,并提高性能。示例路径:常见的 挂载点包括 、、 等。持
Camp4-L0:Linux 前置基础
fangsfdavid的博客
10-29 878
书生浦语大模型实战营第四期:Linux前置基础
Linux】MySQLMGR主从复制
Stringzhua的博客
10-30 842
MySQL是⽬前最流⾏的开源关系型数据库,国内⾦融⾏业也开始全⾯使⽤,其中MySQL5.7.17提出的 MGR(MySQL Group Replication)既可以很好的保证数据⼀致性⼜可以⾃动切换,具备故障检测功能、 ⽀持多节点写⼊,MGR是⼀项被普遍看好的技术。MGR(MySQL Group Replication)是MVSQL⾃带的⼀个插件,可以灵活部署。
第三章.Linux文件管理和IO重定向
最新发布
Raymond的博客
10-30 65
Linux的文件系统分层结构:FHS Filesystem Hierarchy Standard参考文档:http://www.pathname.com/fhs/ 1.3 应用程序的组成部分 1.4 CentOS 7 以后版本目录结构变化 /bin 和 /usr/bin /sbin 和 /usr/sbin /lib 和/usr/lib /lib64 和 /usr/lib64 范例: 1.5 Linux下的文件类型 - 普通文件 d 目录文件directory b 块设备block c 字符设备cha
Linux tac命令‌
weixin_37788102的博客
10-30 320
tac命令实际上是cat命令的一个变体,尽管它的功能相对简单,但在某些情况下非常有用。例如,当需要查看文件的最后一行(通常是标题或总结)时,使用tac命令可以避免滚动查看整个文件。此外,tac命令对于处理大型文件或需要快速定位文件末尾内容的情况非常有用‌。‌Linux tac命令‌是一个用于逆序显示文件内容的工具,其名称来源于“cat”的反向拼写。tac命令的基本功能是将文件的内容从最后一行开始输出,直到第一行结束,这与cat命令的功能相反,cat命令是从第一行开始输出直到最后一行。tac命令的基本用法。
掌握Python与Docker:pytest_docker_tools库教程
资源摘要信息:"Python库 | pytest_docker_tools-0.0.8-py3-none-any.whl" 1. Python库概述 pytest_docker_tools 是一个Python库,它提供了与Docker相关的工具和接口,旨在简化与Docker容器进行交互的过程。此库可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值