Docker——通信的安全

最新推荐文章于 2023-12-26 21:52:11 发布
最新推荐文章于 2023-12-26 21:52:11 发布
阅读量547 收藏
点赞数 2
分类专栏: Docker容器 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/houtieyu/article/details/110544736
版权

文章目录

一:Docker容器与虚拟机的区别

1.隔离与共享

  • 虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立 虚拟机,每个虚拟机都有自己的系统内核。
    而 Docker 容器则是通过隔离的方式,将文件系 统、进程、设备、网络等资源进行隔离,再对权限、CPU 资源等进行控制,最终让容器之间互不影响,
    容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。

2.性能与损耗

  • 与虚拟机相比,容器资源损耗要少。 同样的宿主机下,能够建立容器的数量要比虚拟 机多。但是,虚拟机的安全性要比容器稍好,
    要从虚拟机攻破到宿主机或其他虚拟机,需要 先攻破 Hypervisor 层,这是极其困难的。而 docker 容器与宿主机共享内核、文件系统等资源,
    更有可能对其他容器、宿主机产生影响。

二:Docker 存在的安全问题

1.Docker 自身漏洞

  • 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。
    黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 Docker 版本更迭非常快,
    Docker 用户最好将 Docker 升级为 最新版本。

2. Docker 源码问题

  • Docker 提供了 Docker hub,可以让用户上传创建的镜像,以便其他用户下载,快速搭 建环境。但同时也带来了一些安全问题。例如下面三种方式:

    (1)黑客上传恶意镜像 如果有黑客在制作的镜像中植入木马、后门等恶意软件,那么环境从一开始就已经不安全了,后续更没有什么安全可言。

    (2)镜像使用有漏洞的软件 Docker Hub 上能下载的镜像里面,75%的镜像都安装了有漏洞的软件。所以下载镜像后,
    需要检查里面软件的版本信息,对应的版本是否存在漏洞,并及时更新打上补丁。

    ( 3)中间人攻击篡改镜像 镜像在传输过程中可能被篡改,目前新版本的 Docker 已经提供了相应的校验机制来预 防这个问题。

三:Docker 架构缺陷与安全机制

Docker 本身的架构与机制就可能产生问题,例如这样一种攻击场景,黑客已经控制了宿主机上的一些容器,或者获得了通过在公有云上建立容器的方式,然后对宿主机或其他容器发起攻击。

  1. 容器之间的局域网攻击
    主机上的容器之间可以构成局域网,因此针对局域网的 ARP 欺骗、嗅探、广播风暴等攻 击方式便可以用上。
    所以,在一个主机上部署多个容器需要合理的配置网络,设置 iptable 规则。

  2. DDoS 攻击耗尽资源
    Cgroups 安全机制就是要防止此类攻击的,不要为单一的容器分配过多的资源即可避免此类问题。

  3. 有漏洞的系统调用
    Docker与虚拟机的一个重要的区别就是Docker与宿主机共用一个操作系统内核。
    一旦宿主内核存在可以越权或者提权漏洞,尽管Docker使用普通用户执行,在容器被入侵时,攻击者还可以利用内核漏洞跳到宿主机做更多的事情。

  4. 共享root用户权限
    如果以 root 用户权限运行容器,容器内的 root 用户也就拥有了宿主机的root权限。

四:Docker 安全基线标准

下面从内核、主机、网络、镜像、容器以及其它等 6 个方 面总结 Docker 安全基线标准。

  • 1.内核级别
    (1)及时更新内核。
    (2)User NameSpace(容器内的 root 权限在容器之外处于非高权限状态)。
    (3)Cgroups(对资源的配额和度量)。
    (4)SELiux/AppArmor/GRSEC(控制文件访问权限)。
    (5)Capability(权限划分)。
    (6)Seccomp(限定系统调用)。
    (7)禁止将容器的命名空间与宿主机进程命名空间共享。

  • 2.主机级别
    (1)为容器创建独立分区。
    (2)仅运行必要的服务。
    (3)禁止将宿主机上敏感目录映射到容器。
    (4)对 Docker 守护进程、相关文件和目录进行审计。
    (5)设置适当的默认文件描述符数。
    (文件描述符:内核(kernel)利用文件描述符(file descriptor)来访问文件。文件描述符是非负整数。
    打开现存文件或新建文件时,内核会返回一个文件描述符。读写文件也需要使用文件描述符来指定待读写的文件)
    (6)用户权限为 root 的 Docker 相关文件的访问权限应该为 644 或者更低权限。
    (7)周期性检查每个主机的容器清单,并清理不必要的容器。

  • 3.网络级别
    (1)通过 iptables 设定规则实现禁止或允许容器之间网络流量。
    (2)允许 Docker 修改 iptables。
    (3)禁止将 Docker 绑定到其他 IP/Port 或者 Unix Socket。
    (4)禁止在容器上映射特权端口。
    (5)容器上只开放所需要的端口。
    (6)禁止在容器上使用主机网络模式。
    (7)若宿主机有多个网卡,将容器进入流量绑定到特定的主机网卡上。

  • 4.镜像级别
    (1)创建本地镜像仓库服务器。
    (2)镜像中软件都为最新版本。
    (3)使用可信镜像文件,并通过安全通道下载。
    (4)重新构建镜像而非对容器和镜像打补丁。
    (5)合理管理镜像标签,及时移除不再使用的镜像。
    (6)使用镜像扫描。
    (7)使用镜像签名。

  • 5.容器级别
    (1)容器最小化,操作系统镜像最小集。
    (2)容器以单一主进程的方式运行。
    (3)禁止 privileged 标记使用特权容器。
    (4)禁止在容器上运行 ssh 服务。
    (5)以只读的方式挂载容器的根目录系统。
    (6)明确定义属于容器的数据盘符。
    (7)通过设置 on-failure 限制容器尝试重启的次数,容器反复重启容易丢失数据。
    (8)限制在容器中可用的进程树,以防止 fork bomb。(fork炸弹,迅速增长子进程,耗尽系统进程数量)

  • 6.其他设置
    (1)定期对宿主机系统及容器进行安全审计。
    (2)使用最少资源和最低权限运行容器。
    (3)避免在同一宿主机上部署大量容器,维持在一个能够管理的数量。
    (4)监控 Docker 容器的使用,性能以及其他各项指标。
    (5)增加实时威胁检测和事件响应功能。
    (6)使用中心和远程日志收集服务

五:容器最小化

如果仅在容器中运行必要的服务,像 SSH 等服务是不能轻易开启去连接容器的。通常使用以下方式来进入容器。

docker exec -it a661258f6bfe bash

六:Docker remote api 访问控制

Docker的远程调用 API 接口存在未授权访问漏洞,至少应限制外网访问。建议使用 Socket 方式访问。
监听内网 ip,docker daemon 启动方式如下。

docker -d -H uninx:///var/run/docker.sock -H tcp://192.168.195.128:2375

或者

vim /usr/lib/systemd/system/docker.service

#开放本地监听地址和端口
ExecStart=/usr/bin/dockerd -H unix:///var/run/docker.sock -H tcp://192.168.195.128:2375

systemctl daemon-reload

systemctl restart docker

然后,在宿主机的 firewalld 上做 IP 访问控制即可。(source address 是客户端地址)

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.195.128" port protocol="tcp" port="2375" accept"

firewall-cmd --reload

//客户端操作实现远程调用
docker -H tcp://192.168.195.128 images

七:限制流量流向

使用防火墙过滤器限制 Docker 容器的源 IP 地址范围与外界通讯。

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.195.0/24" reject"

大量问题是因为Docker容器端口外放引起的漏洞,除了操作系统账户权限控制上的问题,更在于对Docker Daemon的进程管理上存在隐患。

目前常用的Docker版本都支持Docker Daemon管理宿主iptables的,而且一旦启动进程加上-p host_port:guest_port的端口映射,

Docker Daemon会直接增加对应的FORWARD Chain并且-j ACCEPT,而默认的DROP规则是在INPUT链做的,对docker没法限制,
这就留下了很严重的安全隐患了。因此建议:

    1. 不在有外网ip的机器上使用Docker服务
    1. 使用k8s等docker编排系统管理Docker容器
    1. 宿主上Docker daemon启动命令加一个–iptables=false,然后把常用iptables写进文件里,再用iptables-restore去刷。

八:镜像安全

Docker 镜像安全扫描,在镜像仓库客户端使用证书认证,对下载的镜像进行检查。
通过与 CVE 数据库同步扫描镜像,一旦发现漏洞则通知用户处理,或者直接阻止镜像继续构建。

如果公司使用的是自己的镜像源,可以跳过此步;否则,至少需要验证 baseimage 的 md5 等特征值,确认一致后再基于 baseimage 进一步构建。
一般情况下,要确保只从受信任的库中获取镜像,并且不建议使用–insecure-registry=[] 参数,推荐使用harbor私有仓库。

Houtieyu
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker安全
Yusheng9527的博客
03-16 815
docker安全 Docker存在的安全问题Docker自身漏洞Docker源码问题Docker架构缺陷与安全机制Docker安全基线标准内核级别主机级别网络级别镜像级别容器级别其他设置容器相关的常用安全配置方法容器最小化Docker远程API访问控制在docker服务配置文件指定监听内网ip重启 Docker在宿主机的firewalld上做IP访问控制在客户端上实现远程授权访问限制流量流向镜像安全 Docker存在的安全问题 Docker自身漏洞 作为一款应用Docker本身实现上会有代码缺陷。CVE官
Docker---docker中存在的一些安全问题
大E了的博客
11-17 1712
文章目录一:容器与虚拟机的区别二:Docker存在的安全问题三:Docker 架构缺陷与安全机制四:Docker 安全基线标准4.1:内核级别4.2:主机级别4.3:网络级别4.4:镜像级别4.5:容器级别4.6:其他设置五:其他需要主义的事项5.1:容器最小化5.2:Docker remote api 访问控制 一:容器与虚拟机的区别 不同点 container VM 启动速度 秒级 分钟级 运行性能 接近原生(直接在内核中运行) 5%左右损失 磁盘占用 MB GB 数量 成
Docker存在的安全问题,如何解决?
weixin_42449832的博客
03-17 1304
文章目录一、Docker 容器与虚拟机的详细区别二、Docker 存在的安全问题2.1 Docker 自身漏洞2.2 Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准4.1 内核级别4.2 主机级别4.3 网络级别4.4 镜像级别4.5 容器级别4.6 其他设置五、Docker 远程调用与流量限制5.1 Docker remote api 访问控制5.2 限制流量流向六、容器最小化与镜像安全6.1 容器最小化6.2 镜像安全 一、Docker 容器与虚拟机的详细区别
docker 安全性问题
Kim891212的博客
06-08 174
最近项目组成员要在k8s中引入类似于docker --privileged 的功能。显示通过api查询在container和pod层面做了securityContext的设置。 但是没有起到效果。于是想到k8s中Pod和container是通过kubelet进行创建和管理的,那么kubelet应该有一些设置,于是就加入了 --allow-privileged的设置。 还是没有达到预期...
Docker安全
yeasy的专栏
09-23 1928
现在讨论Docker安全性的话题颇多,主要集中在对使用容器方式的隔离性、攻击防护性等方面。 往往与虚拟机方式进行比较。 首先,从安全性上看,Docker容器安全性比不上虚拟机,这点是毋庸置疑的。 容器内的应用可以直接访问到主机系统内核;而虚拟机中的应用首先要访问到虚拟机的操作系统,然后在经过hypervisor层才能访问到外部的系统。 而且,虚拟机方式在生产环境中经过诸多检验,更加成熟一
docker入门——思维导图
07-21
2. 外部机器和容器间间接通信 3. 容器之间的数据交换 创建数据卷时,需要使用 `-v` 参数,例如: `docker run -it --name=c1 -v /root/data:/root/data_container centos:7 /bin/bash` 端口映射 端口映射是将...
docker overlay网络跨主机通信——路由机制打通网络
01-20
overlay跨主机通信网络的特点: ...因为默认两台主机上的dockerdocker0地址都是172.17.0.1/16。 本文使用的两台主机IP为192.168.0.124与192.168.0.121. 搭建: 1、先修改其中192.168.0.124主机的do
Docker容器化部署尝试——多容器通信(node+mongoDB+nginx)
09-30
主要介绍了Docker容器化部署尝试——多容器通信(node+mongoDB+nginx),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Docker高级管理——网络通信、compose容器编排、consul、consul-template
01-09
Docker的网络通信 端口映射机制将内容的服务提供给外都网络访问 可随机或指定映射端口范围 docker run -d httpd:centos docker run -d -p 49888:80 httpd:centos Docker Compose容器编排 Docker Compose的前身是Fig...
Docker安全
怎么也想不出名字的博客
02-12 1234
容器安全性问题的根源在于容器和宿主机共享内核。如果容器里的应用导致Linux内核崩溃,那么整个系统可能都会崩溃。与虚拟机是不同的,虚拟机并没有与主机共享内核,虚拟机崩溃一般不会导致宿主机崩溃。
Docker安全
qq_41871875的博客
04-14 257
理解Docker安全 ·Docker容器安全性,很大程度上依赖于Linux系统自身,评估Docker安全性时,主要考虑以下几个方面: ·Linux内核的命名空间机制提供的容器隔离安全 ...
07 | Docker 安全问题与解决办法
Cirtus的博客
10-09 857
07 | Docker 安全:基于内核的弱隔离系统如何保障安全性? ocker 是基于 Linux 内核的 Namespace 技术实现资源隔离的,所有的容器都共享主机的内核。其实这与以虚拟机为代表的云计算时代还是有很多区别的,比如虚拟机有着更好的隔离性和安全性,而容器的隔离性和安全性则相对较弱。 在讨论容器安全性之前,我们先了解下容器与虚拟机的区别,这样可以帮助我们更好地了解容器安全隐患以及如何加固容器安全。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xDdMEhw
【Web安全笔记】之【11.0 其他】
AA8j的博客
12-23 4136
文章目录11.0 其他11.1 代码审计11.1.1 简介11.1.2 常用概念1. 输入2. 处理函数3. 危险函数11.1.3 自动化审计1. 危险函数匹配2. 控制流分析3. 基于图的分析4. 代码相似性比对5. 灰盒分析11.1.4 手工审计流程1. 获取代码,确定版本,尝试初步分析2. 基于审计工具进行初步分析3. 了解程序运行流程1) 文件加载方式2) 数据库连接方式3) 视图渲染4) SESSION处理机制5) Cache处理机制4. 账户体系1) Auth方式2) Pre-Auth的情况下可
Docker常见的安全问题复现
weixin_45910629的博客
12-26 1253
Docker是一个开源的应用容器引擎,它可以让用户将应用打包,并依赖包到可移植的容器中。然而,Docker也存在着安全问题。
「快学DockerDocker容器安全性探析
热门推荐
wml_JavaKill的博客
08-25 3万+
Docker容器安全性是容器化部署中至关重要的一环。通过遵循最佳实践,定期更新镜像,实施隔离和监控,以及限制权限和加强网络安全性,可以有效降低容器部署所带来的安全风险。然而,安全性是一个持续的过程,需要不断关注和改进,以保障整个系统的稳定性和可靠性。
探索容器安全性:概述
AlbenXie的博客
05-24 2214
【编者的话】本文是Google云平台(GCP)上的容器安全性系列博客文章中的第一篇,介绍了容器安全的以下几个方面:基础设施安全、软件供应链和运行时安全,并澄清了容器不是强大的安全边界,可能要依靠Google云平台项目提供的隔离。最后提供了几场即将到来的在KubeCon EU关于容器安全的讲座信息。容器越来越多地被用于部署应用程序,这是有充分理由的,因为它们具有可移植性、简单的可扩展性和较低的管理负...
Docker——docker安全Docker remote api 访问控制、TLS加密通讯
ML908的博客
04-28 2334
文章目录一、Docker 容器与虚拟机的区别1、隔离与共享2、性能与损耗二、Docker 存在的安全问题1、Docker 自身漏洞2、 Docker 源码问题三、Docker 架构缺陷与安全机制1、容器之间的局域网攻击2、 DDoS 攻击耗尽资源3、有漏洞的系统调用4、共享root用户权限四、Docker 安全基线标准1、内核级别2、主机级别3、网络级别4、镜像级别5、容器级别6、其他设置五、容器...
专家观点:Docker 架构优缺点大剖析
huaweitman的专栏
12-02 711
http://cloud.51cto.com/art/201601/504815.htm
docker —— 从入门到实践》
最新发布
12-30
另外,还介绍了Docker的监控和日志管理、网络配置以及安全性等方面的内容。 这本书的优点在于它结合了理论和实践,既对Docker的原理和概念进行了深入讲解,又提供了丰富的实践案例。通过学习这本书,读者可以系统地...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值