Docker --docker安全、docker资源控制、docker安全加固

一、理解Docker安全

1、Docker容器的安全性，很大程度上依赖于Linux系统自身，评估Docker的安全性时，主要考虑以下几个方面：

Linux内核的命名空间机制提供的容器隔离安全

Linux控制组机制对容器资源的控制能力安全。

Linux内核的能力机制所带来的操作权限安全

Docker程序（特别是服务端）本身的抗攻击性。

其他安全增强机制对容器安全性的影响。

2、命名空间隔离的安全

当docker run启动一个容器时，Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。

与虚拟机方式相比，通过Linux namespace来实现的隔离不是那么彻底。 容器只是运行在宿主机上的一种特殊的进程，那么多个容器之间使用的就还是同一个宿主机的操作系统内核。

在 Linux 内核中，有很多资源和对象是不能被 Namespace 化的，比如：时间。

3、控制组资源控制的安全

当docker run启动一个容器时，Docker将在后台为容器创建一个独立的控制组策略集合。

Linux Cgroups提供了很多有用的特性，确保各容器可以公平地分享主机的内存、CPU、磁盘IO等资源。

确保当发生在容器内的资源压力不会影响到本地主机系统和其他容器，它在防止拒绝服务攻击（DDoS）方面必不可少。

4、内核能力机制

能力机制（Capability）是Linux内核一个强大的特性，可以提供细粒度的权限访问控制。

大部分情况下，容器并不需要“真正的”root权限，容器只需要少数的能力即可。

默认情况下，Docker采用“白名单”机制，禁用“必需功能”之外的其他权限。

5、Docker服务端防护

使用Docker容器的核心是Docker服务端，确保只有可信的用户才能访问到Docker服务。 

将容器的root用户映射到本地主机上的非root用户，减轻容器和主机之间因权限提升而引起的安全问题。 

允许Docker 服务端在非root权限下运行，利用安全可靠的子进程来代理执行需要特权权限的操作。这些子进程只允许在特定范围内进行操作。

6、其他安全特性

在内核中启用GRSEC和PAX，这将增加更多的编译和运行时的安全检查；并且通过地址随机化机制来避免恶意探测等。启用该特性不需要Docker进行任何配置。 

使用一些有增强安全特性的容器模板。 

用户可以自定义更加严格的访问控制机制来定制安全策略。 

在文件系统挂载到容器内部时，可以通过配置只读模式来避免容器内的应用通过文件系统破坏外部环境，特别是一些系统运行状态相关的目录。

Linux内核的命名空间机制提供的容器隔离安全

Linux 内核实现 namespace 的一个主要目的就是实现轻量级虚拟化(容器)服务。在同一个 namespace 下的进程可以感知彼此的变化，而对外界的进程一无所知。这样就可以让容器中的进程产生错觉，认为自己置身于一个独立的系统中，从而达到隔离的目的。也就是说 linux 内核提供的 namespace 技术为 docker 等容器技术的出现和发展提供了基础条件。
从 docker 实现者的角度考虑该如何实现一个资源隔离的容器。比如是不是可以通过 chroot 命令切换根目录的挂载点，从而隔离文件系统。为了在分布式的环境下进行通信和定位，容器必须要有独立的 IP、端口和路由等，这就需要对网络进行隔离。同时容器还需要一个独立的主机名以便在网络中标识自己。接下来还需要进程间的通信、用户权限等的隔离。最后，运行在容器中的应用需要有进程号(PID)，自然也需要与宿主机中的 PID 进行隔离。也就是说这六种隔离能力是实现一个容器的基础

实验环境： 首先清除上次试验 确保实验环境干净 以免影响本次实验

二、容器资源控制 

Linux Cgroups 的全称是 Linux Control Group。

是限制一个进程组能够使用的资源上限，包括 CPU、内存、磁盘、网络带宽等等。

对进程进行优先级设置、审计，以及将进程挂起和恢复等操作。

内存限制 容器可用内存包括两个部分：物理内存和swap交换分区。

docker run -it --memory 200M --memory-swap=200M ubuntu

--memory设置内存使用限额 --memory-swap设置swap交换分区限额 

容器和宿主机很多资源没有被隔离 比如内存所以在容器中看到的内存信息和宿主机的mermory是一个文件是一样的 （缺陷：容器资源内存实际已经被修改为200M 只是看不见而已 是因为没有被隔离 ）