ls it going on----------docker通讯安全

最新推荐文章于 2023-02-12 22:05:47 发布
最新推荐文章于 2023-02-12 22:05:47 发布
阅读量238 收藏
点赞数
分类专栏: docker 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Laiyunpeng666/article/details/109749269
版权

docker通讯安全

一、虚拟机和docker之间的区别

1、隔离与共享
虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立 虚拟机,每个虚拟机都有自己的系统内核。
而 Docker 容器则是通过隔离的方式,将文件系 统、进程、设备、网络等资源进行隔离,再对权限、CPU 资源等进行控制,最终让容器之间互不影响,·容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。
2、性能与损耗
与虚拟机相比,容器的资源损耗要小的多
同样在宿主机之下,能够建立的容器数量要比虚拟机多
但是虚拟机的安全性要好于容器

二、docker的安全问题

1.Docker 自身漏洞

作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。
黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 Docker 版本更迭非常快,
Docker 用户最好将 Docker 升级为 最新版本。

  1. Docker 源码问题

Docker 提供了 Docker hub,可以让用户上传创建的镜像,以便其他用户下载,快速搭 建环境。但同时也带来了一些安全问题。例如下面三种方式:
(1)黑客上传恶意镜像如果有黑客在制作的镜像中植入木马、后门等恶意软件,那么环境从一开始就已经不安全了,后续更没有什么安全可言。
(2)镜像使用有漏洞的软件 Docker Hub 上能下载的镜像里面,75%的镜像都安装了有漏洞的软件。所以下载镜像后,
需要检查里面软件的版本信息,对应的版本是否存在漏洞,并及时更新打上补丁。
(3)中间人攻击篡改镜像 镜像在传输过程中可能被篡改,目前新版本的 Docker 已经提供了相应的校验机制来预 防这个问题。

三、docker的架构缺陷与安全机制

Docker 本身的架构与机制就可能产生问题,例如这样一种攻击场景,黑客已经控制了宿主机上的一些容器,或者获得了通过在公有云上建立容器的方式,然后对宿主机或其他容器发起攻击。

  1. 容器之间的局域网攻击
    主机上的容器之间可以构成局域网,因此针对局域网的 ARP 欺骗、嗅探、广播风暴等攻 击方式便可以用上。
    所以,在一个主机上部署多个容器需要合理的配置网络,设置 iptable 规则。
  2. DDoS 攻击耗尽资源
    Cgroups 安全机制就是要防止此类攻击的,不要为单一的容器分配过多的资源即可避免此类问题。
  3. 有漏洞的系统调用
    Docker与虚拟机的一个重要的区别就是Docker与宿主机共用一个操作系统内核。
    一旦宿主内核存在可以越权或者提权漏洞,尽管Docker使用普通用户执行,在容器被入侵时,攻击者还可以利用内核漏洞跳到宿主机做更多的事情。
  4. 共享root用户权限
    如果以 root 用户权限运行容器,容器内的 root 用户也就拥有了宿主机的root权限。

四、容器最小化

如果仅在容器中运行必要的服务,像 SSH 等服务是不能轻易开启去连接容器的。通常使用以下方式来进入容器。

docker exec -it 容器ID号 bash

五、Docker api 访问控制

Docker的远程调用 API 接口存在未授权访问漏洞,至少应限制外网访问。

#本地下载一个镜像
[root@master ~]#docker run nginx /bin/bash
[root@master ~]# iptables -F
[root@master ~]# setenforce 0
[root@client ~]# docker -H tcp://20.0.0.9:2375 images		##另外的一台主机远程连接的时候会先报防火墙阻挡
error during connect: Get http://20.0.0.9:2375/v1.40/images/json: dial tcp 20.0.0.9:2375: connect: no route to host
[root@client ~]# iptables -F
[root@client ~]# setenforce 0
[root@client ~]# docker -H tcp://20.0.0.9:2375 images	##关闭防火墙后还是没法连接,报了你是没有权限的
Cannot connect to the Docker daemon at tcp://20.0.0.9:2375. Is the docker daemon running?

这里也可不关闭防火墙,改一下防火前规则也行如下

//source address是客户端地址
[root@master ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="20.0.0.10" port protocol="tcp" port="2375" accept"    
success
[root@master ~]# firewall-cmd --reload    #使设置的防火墙规则生效
success

可以使用 Socket 方式访问。
监听内网 ip,docker daemon 启动方式如下

#修改docker的配置文件,实现socket访问
[root@master ~]# vim /usr/lib/systemd/system/docker.service
//修改
14 #ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock	#注释掉
15 ExecStart=/usr/bin/dockerd -H unix:///var/run/docker.sock -H tcp://20.0.0.9:2375    #添加
[root@master ~]# systemctl daemon-reload
[root@master ~]# systemctl restart docker
#在去客户端看能不能访问
[root@client ~]# docker -H tcp://20.0.0.9:2375 images		##直接可以进入
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
nginx               latest              c39a868aad02        11 days ago         133MB

在这里插入图片描述
在这里插入图片描述
总结:远程的好处是:可以实现shell脚本多台裸金属的调用

六、限制流量流向

使用防火墙过滤器限制 Docker 容器的源 IP 地址范围与外界通讯。

[root@master ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="20.0.0.0/24" reject"
success
#add-rich-rule添加规则
#reject拒绝
#source address源地址为容器地址,出去的数据

[root@master ~]# firewall-cmd --reload   #使设置的防火墙规则生效
success
[root@client ~]# docker -H=tcp://20.0.0.9:2375 ps  
Cannot connect to the Docker daemon at tcp://20.0.0.9:2375. Is the docker daemon running?
#发现DROP规则是在INPUT链上做的,对docker容器流量流出没办法做限制,有很严重的安全隐患。
大量问题是因为Docker容器端口外放引起的漏洞,除了操作系统账户权限控制上的问题,更在于对Docker Daemon的进程管理上存在隐患。
目前常用的Docker版本都支持Docker Daemon管理宿主iptables的,而且一旦启动进程加上-p host_port:guest_port的端口映射,
Docker Daemon会直接增加对应的FORWARD Chain并且-j ACCEPT,而默认的DROP规则是在INPUT链做的,对docker没法限制,
这就留下了很严重的安全隐患了。因此建议:
##
`1. 不在有外网ip的机器上使用Docker服务
##
2. 使用k8s等docker编排系统管理Docker容器
##
3. 宿主上Docker daemon启动命令加一个--iptables=false,然后把常用iptables写进文件里,再用iptables-restore去刷。`

七、镜像安全

1、 Docker 镜像安全扫描,在镜像仓库客户端使用证书认证,对下载的镜像进行检查。
2、 通过与 CVE 数据库同步扫描镜像,一旦发现漏洞则通知用户处理,或者直接阻止镜像继续构建。
3、如果公司使用的是自己的镜像源,可以跳过此步;否则,至少需要验证 baseimage 的 md5 等特征值,确认一致后再基于 baseimage 进一步构建。
4、 一般情况下,要确保只从受信任的库中获取镜像,并且不建议使用–insecure-registry=[] 参数,推荐使用harbor私有仓库。

关键字

docker -H tcp://20.0.0.9:2375 images ##docker的远程连接方法,直接用-H也就是ssh协议
firewall-cmd --permanent --zone=public --add-rich-rule=“rule family=“ipv4” source address=“20.0.0.0/24” reject”
#富语言规则firewalld-cmd --permanent是指的永久设定,添加富语言规则名字叫rule family对应的是ipv4,对应的源地址是这个地址段的,reject是拒绝
success
#add-rich-rule添加规则
#reject拒绝
#source address源地址为容器地址,出去的数据

[root@master ~]# firewall-cmd --reload #使设置的防火墙规则生效

来云朋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CIS docker 安全标准
02-15
CIS 的 docker 安全标准。本文档适用于系统和应用程序管理员,安全专家, 计划开发,部署的审计员,服务台和平台部署人员 评估或保护包含Docker CE 17.06或更高版本技术的解决方案。
Docker数据安全隐患分析
weixin_34409357的博客
04-13 180
Docker容器为应用的编写、分发和部署带来真正翻天覆地的变化。容器的目的是灵活性,让应用可按需启用,无论何时以及何地。当然无论我们在哪里使用应用,我们都需要数据。  对于数据应该如何映射到容器主要有两个流派。第一个流派称我们将数据保留在容器中;第二个称我们在容器外保存永久性数据,这些数据可超越任何单个容器的使用寿命。在这两种情况下,安全问题给数据和容器管理带来大问题。管理数...
Docker 面临的安全隐患,我们该如何应对
weixin_34233679的博客
08-24 255
2019独角兽企业重金招聘Python工程师标准>>> ...
docker安全机制
安心Smile的博客
11-30 701
内核命名空间 Docker 容器和 LXC 容器很相似,所提供的安全特性也差不多。当用  docker run  启动一个容器时,在后台 Docker 为容器创建了一个独立的命名空间和控制组集合。 命名空间提供了最基础也是最直接的隔离,在容器中运行的进程不会被运行在主机上的进程和其它容器发现和作用。 每个容器都有自己独有的网络栈,意味着它们不能访问其他容器的 sockets 或接口。不过,如...
Docker安全机制
Jelly
01-07 3678
Docker安全很大程度依赖于Linux系统自身的安全,在使用中主要考虑的是一下几个方面的内容: 1、Linux内核的命名空间(namespace)机制提供的容器隔离安全; 2、Linux控制组(cgroup)对容器资源的控制能力安全; 3、Linux内核的能力机制所带来的操作系统安全; 4、Docker程序(主要是服务器端)本身的抗攻击能力; 5、其他安全增强机制的影响。 1.1 命名空间隔离安全 命名...
docker-compose-linux-x86_64
09-21
Docker-Compose项目是Docker官方的开源项目,负责实现对Docker容器集群的快速编排。 Docker-Compose将所管理的容器分为三层,分别是工程(project),服务(service)以及容器(container)。Docker-Compose运行...
最新版本docker-compose v2.10.2
08-30
解决不支持docker-compose命令的问题,而从gihub下载缓慢,适用于x87_64的linux系统,
docker-compose v2.5.0版本安装包
05-06
内含两个文件,一个是二进制程序包,一个是install.sh安装脚本。...(你也可以自行去github上面下载最新的docker-compose的二进制包,但是这将浪费你半个小时的时间,然后还要自己安装。所以1.9元交个朋友)
docker-compose-window-2.14.2.exe
12-27
docker-compose-window-2.14.2.exe免费下载
基于docker-compose快速部署spiderflow
最新发布
05-25
包含了docker-compose快速部署spiderflow的所有相关文件,包含docker-compose.yml,mysql, spiderflow.jar 可直接运行docker-compose up -d 启动容器。 数据库相关配置都可以通过docker-compose.yml修改。
容器安全的三大挑战
分享 GPU 管理与大模型推理相关技术实践
12-29 683
容器凭借其经济高效的优势改变了应用程序的交付方式,随着容器的普遍使用,管理应用程序基础设施的 IT 劳动力和资源也显著减少。然而,在保护容器和容器化生态系统时,软件团队遇到了许多障碍。尤其是习惯于更传统的网络安全流程和策略的企业团队。从理论上来说,容器看起来似乎能够提供更好的安全性,因为容器将应用程序与主机系统彼此隔离开来。但实际真的如此吗?让我们来看一组市场数据。据美国商业资讯报道,到 2027 年,全球容器安全市场规模预计将达到 39 亿美元,复合年增长率为 23.5%。
docker与容器安全
fy_long的博客
03-12 5859
Docker安全机制 ​ Docker目前已经在安全方面做了一定的工作,包括Docker daemon在以TCP形式提供服务的同时使用传输层安全协议;在构建和使用镜像时会验证镜像的签名证书;通过cgroups及namespaces来对容器进行资源限制和隔离;提供自定义容器能力(capability)的接口;通过定义seccomp profile限制容器内进程系统调用的范围等。如果合理地实...
云原生时代下,容器安全的“四个挑战”和“两个关键”
阿里巴巴云原生的博客
03-17 642
作者 | 匡大虎 来源 | 阿里巴巴云原生公众号 云原生进程中的容器安全挑战 云原生的火热带来了企业基础设施和应用架构等技术层面的革新,在云原生的大势所趋下,越来越多的企业选择拥抱云原生,在 CNCF 2020 年度的调研报告中,已经有83% 的组织在生产环境中选择 Kubernetes,容器已经成为应用交付的标准,也是云原生时代计算资源和配套设施的交付单元。显然,容器已经成为应用交付的标准,也是云原生时代计算资源和配套设施的交付单元。 然而,由于在隔离和安全性方面存在的天然缺陷,安全一直是企业进行容器改.
Docker安全机制及对资源的管理限制
Code for need ,Code for fun
08-22 305
设置docker安全机制 容器权限 设置特权级运行的容器:–privileged=true 有的时候我们需要容器具备更多的权限 比如操作内核模块,控制 swap交换分区,挂载 USB 磁盘,修改 MAC 地址等。 [root@foundation7 test]# docker run -it --name vm1 ubuntu root@f34342f7343d:/# ip...
Docker安全机制详解(容器资源限制)
ly2020_的博客
08-09 1376
1.Docker安全 Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。 与虚拟机方式相比,通过Linux namespace来实现的隔离不是那么彻底。 容器只是...
考虑容器安全问题
weixin_34362790的博客
07-04 118
容器是IT领域最热门的软件理念。共享虚拟机通用部分这一概念——包括共享操作系统,管理工具,甚至应用程序,减少了任意镜像占用内存的这一主要因素,同时节省了网络带宽与许多副本上加载的基本相同的代码。 这些节省意义很大,初步估计容器支持降低三到五倍的实例数量,相比于某些情况下的传统的基于虚拟机管理程序的方法显得更加有效,例如在VDI市场的应用。值得注意的是,容...
Docker安全
weixin_73462212的博客
02-12 1839
Docker安全
docker安全
qq_41830712的博客
06-04 657
前言: docker内部的隔离机制是通过namespace来做的,但是在Linux系统里面很多东西是不能通过namespace来隔离的,比如:时间。 容器的资源控制,而namespace把容器在我们的linux系统网络成为独立个体,并不能做资源限制,很可能一个容器上面跑了一个java程序,但是这个容器把我们的内存占用完了,那么这是不合理的。 所以一定要对docker容器的配额进行限额,资源限制。 ...
Docker-compose教程详解与实战部署
Docker-compose教程全集是一份深入讲解Docker容器集群编排的详细指南,它是由Docker官方维护的开源工具,旨在简化多容器应用的部署和管理。Docker-compose主要关注三个层次的组织:项目(project)、服务(service)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值