Docker安全
文章平均质量分 71
G4rb3n
https://github.com/G4rb3n
展开
-
Docker原理第三话--CGroups
CGroups上一话我们讲解了Docker使用了Namespace实现隔离性,OK,那么我们想象一下,由于Namespace的存在,黑客不能从A container中越权攻击B container和宿主机host,那么黑客换个思路,在A container中申请大量cpu和memory资源(死循环或fork炸弹等),直接导致资源耗尽,使得B container和host都不能正常服务……这样的话,也原创 2017-11-08 16:29:27 · 329 阅读 · 0 评论 -
Docker原理第二话--Namespace
NamespaceDocker的隔离机制主要由Linux的命名空间(Namespace)实现。Namespace有6个成员:MNT Namespace 提供磁盘挂载点和文件系统的隔离能力 IPC Namespace 提供进程间通信的隔离能力 Net Namespace 提供网络隔离能力 UTS Namespace原创 2017-10-25 18:18:35 · 473 阅读 · 0 评论 -
Docker原理第一话--介绍
Docker原理Docker架构execdriver:存储了容器定义的配置信息。 libcontainer:拿到配置信息后将会调用namespace,cgroups等技术完成容器的创建及管理。 networkdriver:完成容器网络环境的配置。 graphdriver:管理容器镜像。Docker组成原理容器 = 镜像 + 可读层。并且容器的定义并没有提及是否要运行容器 一个运行态容器(原创 2017-11-08 17:36:26 · 378 阅读 · 0 评论 -
Docker安全第一话--镜像安全
Docker镜像安全概述Docker提供了docker hub可以让用户上传创建的镜像,以便其他用户下载,快速搭建环境。但同时也带来了一些安全问题: 1. 下载的镜像是否被恶意植入后门? 2. 镜像所搭建的环境是否本身就包含漏洞? 3. ……Docker容器基于镜像搭建,那么镜像安全则直接决定了容器安全。 所以,对镜像进行安全扫描就变得尤其重要了,接下来,我们docker的镜像安全1. C原创 2017-12-26 22:28:50 · 10220 阅读 · 4 评论 -
Docker安全第二话--安全监控
Docker安全监控Falco概述Falco是一款开源的行为监视器,旨在检测应用程序中的异常活动。 Falco由一系列规则组成,这些规则基于应用程序执行的系统调用来识别可疑行为。 Falco可以应用于容器环境、虚拟化环境、Linux物理主机环境Falco安装# curl -s https://s3.amazonaws.com/download.draios.com/DRAIOS-GPG-KEY.pu原创 2017-12-27 10:43:54 · 1067 阅读 · 0 评论 -
Docker安全第三话--存储安全
Docker存储安全Docker存储方面的安全隐患挂载宿主机的敏感目录到容器中,从而造成容器可以对host敏感文件进行任意操作以下这些敏感目录及文件没有进行隔离:/proc/fs 文件系统信息 /proc/meminfo RAM使用的相关信息 /proc/cpuinfo原创 2017-12-27 10:52:00 · 497 阅读 · 0 评论