docker通讯安全
一、虚拟机和docker之间的区别
1、隔离与共享
虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立 虚拟机,每个虚拟机都有自己的系统内核。
而 Docker 容器则是通过隔离的方式,将文件系 统、进程、设备、网络等资源进行隔离,再对权限、CPU 资源等进行控制,最终让容器之间互不影响,·容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。
2、性能与损耗
与虚拟机相比,容器的资源损耗要小的多
同样在宿主机之下,能够建立的容器数量要比虚拟机多
但是虚拟机的安全性要好于容器
二、docker的安全问题
1.Docker 自身漏洞
作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。
黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 Docker 版本更迭非常快,
Docker 用户最好将 Docker 升级为 最新版本。
- Docker 源码问题
Docker 提供了 Docker hub,可以让用户上传创建的镜像,以便其他用户下载,快速搭 建环境。但同时也带来了一些安全问题。例如下面三种方式:
(1)黑客上传恶意镜像
如果有黑客在制作的镜像中植入木马、后门等恶意软件,那么环境从一开始就已经不安全了,后续更没有什么安全可言。
(2)镜像使用有漏洞的软件
Docker Hub 上能下载的镜像里面,75%的镜像都安装了有漏洞的软件。所以下载镜像后,
需要检查里面软件的版本信息,对应的版本是否存在漏洞,并及时更新打上补丁。
(3)中间人攻击篡改镜像
镜像在传输过程中可能被篡改,目前新版本的 Docker 已经提供了相应的校验机制来预 防这个问题。
三、docker的架构缺陷与安全机制
Docker 本身的架构与机制就可能产生问题,例如这样一种攻击场景,黑客已经控制了宿主机上的一些容器,或者获得了通过在公有云上建立容器的方式,然后对宿主机或其他容器发起攻击。
容器之间的局域网攻击
主机上的容器之间可以构成局域网,因此针对局域网的 ARP 欺骗、嗅探、广播风暴等攻 击方式便可以用上。
所以,在一个主机上部署多个容器需要合理的配置网络,设置 iptable 规则。DDoS 攻击耗尽资源
Cgroups 安全机制就是要防止此类攻击的,不要为单一的容器分配过多的资源即可避免此类问题。有漏洞的系统调用
Docker与虚拟机的一个重要的区别就是Docker与宿主机共用一个操作系统内核。
一旦宿主内核存在可以越权或者提权漏洞,尽管Docker使用普通用户执行,在容器被入侵时,攻击者还可以利用内核漏洞跳到宿主机做更多的事情。共享root用户权限
如果以 root 用户权限运行容器,容器内的 root 用户也就拥有了宿主机的root权限。
四、容器最小化
如果仅在容器中运行必要的服务,像 SSH 等服务是不能轻易开启去连接容器的。通常使用以下方式来进入容器。
docker exec -it 容器ID号 bash
五、Docker api 访问控制
Docker的远程调用 API 接口存在未授权访问漏洞,至少应限制外网访问。
#本地下载一个镜像
[root@master ~]#docker run nginx /bin/bash
[root@master ~]# iptables -F
[root@master ~]# setenforce 0
[root@client ~]# docker -H tcp://20.0.0.9:2375 images ##另外的一台主机远程连接的时候会先报防火墙阻挡
error during connect: Get http://20.0.0.9:2375/v1.40/images/json: dial tcp 20.0.0.9:2375: connect: no route to host
[root@client ~]# iptables -F
[root@client ~]# setenforce 0
[root@client ~]# docker -H tcp://20.0.0.9:2375 images ##关闭防火墙后还是没法连接,报了你是没有权限的
Cannot connect to the Docker daemon at tcp://20.0.0.9:2375. Is the docker daemon running?
这里也可不关闭防火墙,改一下防火前规则也行如下
//source address是客户端地址
[root@master ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="20.0.0.10" port protocol="tcp" port="2375" accept"
success
[root@master ~]# firewall-cmd --reload #使设置的防火墙规则生效
success
可以使用 Socket 方式访问。
监听内网 ip,docker daemon 启动方式如下
#修改docker的配置文件,实现socket访问
[root@master ~]# vim /usr/lib/systemd/system/docker.service
//修改
14 #ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock #注释掉
15 ExecStart=/usr/bin/dockerd -H unix:///var/run/docker.sock -H tcp://20.0.0.9:2375 #添加
[root@master ~]# systemctl daemon-reload
[root@master ~]# systemctl restart docker
#在去客户端看能不能访问
[root@client ~]# docker -H tcp://20.0.0.9:2375 images ##直接可以进入
REPOSITORY TAG IMAGE ID CREATED SIZE
nginx latest c39a868aad02 11 days ago 133MB
总结:远程的好处是:可以实现shell脚本多台裸金属的调用
六、限制流量流向
使用防火墙过滤器限制 Docker 容器的源 IP 地址范围与外界通讯。
[root@master ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="20.0.0.0/24" reject"
success
#add-rich-rule添加规则
#reject拒绝
#source address源地址为容器地址,出去的数据
[root@master ~]# firewall-cmd --reload #使设置的防火墙规则生效
success
[root@client ~]# docker -H=tcp://20.0.0.9:2375 ps
Cannot connect to the Docker daemon at tcp://20.0.0.9:2375. Is the docker daemon running?
#发现DROP规则是在INPUT链上做的,对docker容器流量流出没办法做限制,有很严重的安全隐患。
大量问题是因为Docker容器端口外放引起的漏洞,除了操作系统账户权限控制上的问题,更在于对Docker Daemon的进程管理上存在隐患。
目前常用的Docker版本都支持Docker Daemon管理宿主iptables的,而且一旦启动进程加上-p host_port:guest_port的端口映射,
Docker Daemon会直接增加对应的FORWARD Chain并且-j ACCEPT,而默认的DROP规则是在INPUT链做的,对docker没法限制,
这就留下了很严重的安全隐患了。因此建议:
##
`1. 不在有外网ip的机器上使用Docker服务
##
2. 使用k8s等docker编排系统管理Docker容器
##
3. 宿主上Docker daemon启动命令加一个--iptables=false,然后把常用iptables写进文件里,再用iptables-restore去刷。`
七、镜像安全
1、 Docker 镜像安全扫描,在镜像仓库客户端使用证书认证,对下载的镜像进行检查。
2、 通过与 CVE 数据库同步扫描镜像,一旦发现漏洞则通知用户处理,或者直接阻止镜像继续构建。
3、如果公司使用的是自己的镜像源,可以跳过此步;否则,至少需要验证 baseimage 的 md5 等特征值,确认一致后再基于 baseimage 进一步构建。
4、 一般情况下,要确保只从受信任的库中获取镜像,并且不建议使用–insecure-registry=[] 参数,推荐使用harbor私有仓库。
关键字
docker -H tcp://20.0.0.9:2375 images ##docker的远程连接方法,直接用-H也就是ssh协议
firewall-cmd --permanent --zone=public --add-rich-rule=“rule family=“ipv4” source address=“20.0.0.0/24” reject”
#富语言规则firewalld-cmd --permanent是指的永久设定,添加富语言规则名字叫rule family对应的是ipv4,对应的源地址是这个地址段的,reject是拒绝
success
#add-rich-rule添加规则
#reject拒绝
#source address源地址为容器地址,出去的数据
[root@master ~]# firewall-cmd --reload #使设置的防火墙规则生效