docker 安全性
自从我写了有关Docker安全性的系列文章的前两篇 文章以来已经有一段时间了。 本文将提供自那时以来已添加到Docker的最新信息,并涵盖与上游Docker合并过程中正在经历的新功能。
调整能力
在之前的文章中,我介绍了基于Linux功能的容器分离。
Linux功能使您可以将root的权限分解为较小的特权组。 当前,默认情况下,docker容器仅具有以下功能。
CHOWN, DAC_OVERRIDE, FSETID, FOWNER, MKNOD, NET_RAW, SETGID, SETUID, SETFCAP, SETPCAP, NET_BIND_SERVICE, SYS_CHROOT, KILL, AUDIT_WRITE
在某些情况下,您可能需要调整此列表,例如,如果要构建一个运行ntpd或crony的容器,则该容器需要能够修改主机系统时间。 该容器无法运行,因为它需要CAP_SYS_TIME。 在旧版本的docker中,容器必须以--privileged模式运行,这将关闭所有安全性。
在docker-1.3 --cap-add中,添加了--cap-drop。 现在,为了运行一个ntpd容器,您可以运行:
docker run -d --cap-add SYS_TIME ntpd
这只会将SYS_TIME功能添加到您的容器中。
另一个示例是,如果您的容器未更改任何进程的UID / GID,则可以从容器中删除这些功能,从而使其更加安全。
docker run --cap-drop SETUID --cap-drop SETGID --cap-drop FOWNER fedora /bin/sh
# pscap | grep 2912
5417 2912 root sh chown, dac_override, fsetid, kill, setpcap, net_bind_service, net_raw, sys_chroot, mknod, audit_write, setfcap
或者,您可以放弃所有功能,然后再添加一项。
docker run --cap-drop ALL --cap-add SYS_TIME ntpd /bin/sh
# pscap | grep 2382
5417 2382 root sh sys_time
调整SELinux标签
与功能相似,我们增加了即时调整SELinux标签的功能。
如果您看过SELinux图画书 ,您就会知道我们可以按类型和按MCS / MLS级别将过程分开。 我们使用类型来保护主机免受容器侵害。 但是我们也可以调整类型以控制允许哪些网络端口进出容器。 当前,我们使用svirt_net_lxc_t运行所有容器。 允许在所有网络端口上侦听此类型,并允许在所有网络端口上进行连接。 我们可以通过调整SELinux类型标签来加强容器的安全性。
使用常规SELinux和Apache httpd,默认情况下,我们仅允许apache进程监听Apache端口(http_port_t)。
# sudo sepolicy network -t http_port_t
http_port_t: tcp: 80,81,443,488,8008,8009,8443,9000
我们还将阻止所有传出端口连接。 这可以帮助我们锁定Apache进程,即使黑客要用ShellShock这样的安全漏洞破坏应用程序,我们也可以阻止该应用程序成为垃圾邮件机器人,或者阻止该进程发起对其他系统的攻击。 就像加利福尼亚酒店一样,“您可以随时登记入住,但永远都不能离开。”
但是,如果使用容器,则如果您正在容器中运行Apache服务器应用程序,并且该应用程序已被破坏,则Apache进程将能够连接到任何网络端口并成为垃圾邮件机器人,或通过网络攻击其他主机/容器。
使用SELinux创建新的策略类型以与您的容器一起运行非常简单。 首先,您可以创建SELinux TE(类型强制)文件。
# cat > docker_apache.te << _EOF
policy_module(docker_apache,1.0)
# This template interface creates the docker_apache_t type as a
# type which can be run as a docker container. The template
# gives the domain the least privileges required to run.
virt_sandbox_domain_template(docker_apache)
#我知道容器中的apache守护程序将需要
#运行一些功能。 幸运的是我已经有政策
#Apache和我可以查询SELinux的功能。
#sesearch -AC -s httpd_t -c功能
允许docker_apache_t self:功能{chown dac_override kill setgid setuid net_bind_service sys_chroot sys_nice sys_tty_config};
#这些是允许容器侦听的规则
#到网络上的Apache端口。
allow docker_apache_t self:tcp_socket create_stream_socket_perms;
allow docker_apache_t self:udp_socket create_socket_perms;
corenet_tcp_bind_all_nodes(docker_apache_t)
corenet_tcp_bind_http_port(docker_apache_t)
corenet_udp_bind_all_nodes(docker_apache_t)
corenet_udp_bind_http_port(docker_apache_t)
#Apache需要根据DNS服务器解析名称
sysnet_dns_name_resolve(docker_apache_t)
#允许域允许进程不被SELinux阻止
#在制定和测试策略时,您可能想要
#以允许模式运行容器。
#如果您对
#政策。
允许的docker_apache_t;
_EOF
#make -f / usr / share / selinux / devel / Makefile docker_apache.pp
#semodule -i docker_apache.pp
现在使用新类型运行容器:
# docker run -d --security-opt type:docker_apache_t httpd
现在,此容器将以比普通容器更严格的SELinux安全性运行。 请注意,您可能需要查看审核日志,以查看您的应用是否需要其他SELinux允许规则。
您可以使用audit2allow命令添加这些规则,并将这些规则附加到现有的.te文件中,然后重新编译并安装。
# grep docker_apache_t /var/log/audit/audit.log | audit2allow >> docker_apache.te
# make -f /usr/share/selinux/devel/Makefile docker_apache.pp
# semodule -i docker_apache.pp
多级安全模式
当前,我们使用MCS分离来确保不允许容器干扰其他容器或与其他容器进行交互,除非它是通过网络进行的。 某些政府系统需要不同类型的策略MLS(多级安全性)。 使用MLS,您可以根据进程将看到的数据级别来标记进程。 MLS说,如果您的容器将要处理TopSecret数据,则应在TopSecret上运行。 我们在docker中添加了选项,以允许管理员将容器设置为在特定级别运行,这应满足MLS系统的需求。
docker run -d --security-opt label:level:TopSecret --security-opt label:type:docker_apache_t httpd
这将使docker容器可以同时使用替代类型和级别运行,并且可以防止容器使用不在同一标签上的数据。 目前,这还没有通过认证,但是我们愿意帮助第三方为MLS用户建立解决方案。
调整名称空间
在其他安全性讨论中,我讨论了如何将命名空间视为一种安全机制,因为从查看系统上的其他进程(PID命名空间)中消除了一个进程的能力。 网络名称空间可以消除从您的名称空间查看其他网络的能力。 IPC(进程间通信)名称空间具有阻止容器使用其他容器IPC的功能。
Docker现在可以放松这些限制。 您可以与容器共享主机名称空间:
--pid = host让容器共享主机的pid名称空间
--net = host让容器共享主机的网络名称空间
--ipc = host允许容器共享主机ipc名称空间
请注意,由于要与主机共享PID或IPC名称空间,因此我们必须禁用SELinux分隔,才能使它们起作用。
docker run -ti --pid=host --net=host --ipc=host rhel7 /bin/sh
您可能需要阅读《 Super Privileged Containers 》一文中的其他信息。
翻译自: https://opensource.com/business/15/3/docker-security-tuning
docker 安全性
287
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
