docker(6)- 安全

已于 2023-06-12 14:01:30 修改
阅读量79 收藏
点赞数 1
文章标签: docker 安全 容器
于 2023-05-09 15:39:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46652469/article/details/130574704
版权
文章详细介绍了Docker容器的安全特性,包括命名空间隔离、控制组资源控制和内核能力机制。同时,展示了如何对CPU、内存和磁盘IO进行资源限制,以及利用lxcfs增强隔离性和容器特权的使用情况,包括--privileged模式和添加特定能力。
摘要由CSDN通过智能技术生成

目录

docker容器的安全

容器资源控制

cpu资源限制

cpu优先级

内存资源限制

lxcfs隔离

容器特权

docker容器的安全

Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面:

命名空间隔离的安全:启动一个容器时,Docker将在后台为容器创建一个独立的命名空间,就是隔离,但是ns(namespace)的隔离不够强,容器都是使用的同一个物理机的内核

控制组资源控制的安全:启动容器时,Docker将在后台为容器创建一个独立的控制组策略集合Cgroups,它负责分配内存、CPU、磁盘IO等。确保当发生在容器内的资源压力不会影响到本地主机系统和其他容器,它在防止拒绝服务攻击(DDoS)方面必不可少

内核能力机制:大部分情况下,容器并不需要“真正的”root权限,容器只需要少数的能力即可。默认情况下,Docker采用“白名单”机制,禁用“必需功能”之外的其他权限
 

容器资源控制

接下来分别对memory、cpu和io进行控制

cpu资源限制

使用20%cpu上限

[root@k8s1 cpu]# docker run -it --rm --cpu-period 100000 --cpu-quota 20000 ubuntu

测试持续消耗cpu,使用top命令,发现始终不能超过20%

root@433a1612a171:/# dd if=/dev/zero of=/dev/null

容器会直接调用cgroup 

cpu优先级

创建第一个容器

[root@k8s1 cpu]# docker run -it --rm ubuntu

root@0280fc49f2d0:/# dd if=/dev/zero of=/dev/null

创建第二个,cpu.shares 表示优先级,默认是1024,现在设置为100,大概是原来的十分之一。

[root@k8s1 cpu]# docker run -it --rm --cpu-shares 100 ubuntu

root@b75b4d5066b8:/# dd if=/dev/zero of=/dev/null

测试时只保留一个cpu核心可用,通过以下关掉第二个cpu

[root@k8s1 cpu1]# pwd

/sys/devices/system/cpu/cpu1

[root@k8s1 cpu1]# echo 0 > online

 top查看,二者的cpu占用基本是9比1

内存资源限制

物理内存和swap各200m

[root@k8s1 ~]# docker run -d --name demo --memory 200M --memory-swap=200M nginx

在不进容器下操作,进入cgroup,查看设定生效

在/sys/fs/cgroup中有许多的子目录,分别控制每个资源,/sys/fs/cgroup/memory/下的这些变量是是物理机全句的控制

进入memory创建x1,修改memory的最大值为200M。

[root@k8s1 memory]# pwd

/sys/fs/cgroup/memory

[root@k8s1 memory]# mkdir x1

[root@k8s1 memory]# cd x1/

[root@k8s1 x1]# echo 209715200 > memory.limit_in_bytes

安装libcgroup-tools工具,进入shm里,该目录挂的是物理内存,数据往内存写的,使用300m,可以发现多出的100m会写入swap

[root@k8s1 x1]# yum install -y libcgroup-tools.x86_64

[root@k8s1 x1]# cd /dev/shm/

[root@k8s1 shm]# cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=300

[root@k8s1 shm]# free -m

total used free shared buff/cache available

Mem: 1980 187 1080 206 712 1389

Swap: 2047 103 1944

再次进入修改,内存加swap总共200m,使用300m,则任务killed

[root@k8s1 shm]# cd /sys/fs/cgroup/memory/x1/

[root@k8s1 x1]# echo 209715200 > memory.memsw.limit_in_bytes

[root@k8s1 x1]# cd -

/dev/shm

[root@k8s1 shm]# cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=300

Killed

磁盘io限制

限制读取速度,30m每秒,oflag=direct不走缓存,不通过内存到io设备,直接接入io设备

[root@k8s1 ~]# docker run -it --rm --device-write-bps /dev/sda:30MB ubuntu

root@3226b0fc6231:/# dd if=/dev/zero of=bigfile bs=1M count=100 oflag=direct

100+0 records in

100+0 records out

104857600 bytes (105 MB, 100 MiB) copied, 3.31722 s, 31.6 MB/s

lxcfs隔离

lxcfs 是通过文件挂载的方式,把 cgroup 中关于系统的相关信息读取出来,通过 docker 的 volume 挂载给容器内部的 proc 系统。 然后让 docker 内的应用读取 proc 中信息的时候以为就是读取的宿主机的真实的 proc。

下载依赖包,进入,打到后台

[root@k8s1 ~]# yum install lxcfs-2.0.5-3.el7.centos.x86_64.rpm

[root@k8s1 ~]# lxcfs /var/lib/lxcfs &

将以下几个文件挂在容器内

[root@k8s1 ~]# docker run -it -m 256m \

> -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \

> -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \

> -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \

> -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \

> -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \

> -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \

> ubuntu

可看见可用256m,解决了高度隔离性

root@45edbc92cc1d:/# free -m

total used free shared buff/cache available

Mem: 256 0 255 9 0 255

Swap: 256 0 256

容器特权

默认容器内的用户是受限的,很多操作不被允许

[root@k8s1 ~]# docker run -it --rm busybox

/ # ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

inet 127.0.0.1/8 scope host lo

valid_lft forever preferred_lft forever

14: eth0@if15: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue

link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff

inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0

valid_lft forever preferred_lft forever

/ # id

uid=0(root) gid=0(root) groups=0(root),10(wheel)

/ # ip link set down eth0

ip: SIOCSIFFLAGS: Operation not permitted

/ # fdisk -l

开启容器特权,成为超户,--privileged权限非常大,近乎于宿主机的权限

[root@k8s1 ~]# docker run -it --rm --privileged busybox

/ # fdisk -l

Disk /dev/sda: 20 GB, 21474836480 bytes, 41943040 sectors

2610 cylinders, 255 heads, 63 sectors/track

Units: sectors of 1 * 512 = 512 bytes

Device Boot StartCHS EndCHS StartLBA EndLBA Sectors Size Id Type

/dev/sda1 * 0,32,33 130,170,40 2048 2099199 2097152 1024M 83 Linux

/dev/sda2 130,170,41 1023,254,63 2099200 41943039 39843840 18.9G 8e Linux LVM

Disk /dev/dm-0: 17 GB, 18249416704 bytes, 35643392 sectors

2218 cylinders, 255 heads, 63 sectors/track

Units: sectors of 1 * 512 = 512 bytes

Disk /dev/dm-0 doesn't contain a valid partition table

Disk /dev/dm-1: 2048 MB, 2147483648 bytes, 4194304 sectors

261 cylinders, 255 heads, 63 sectors/track

Units: sectors of 1 * 512 = 512 bytes

Disk /dev/dm-1 doesn't contain a valid partition table

/ # ip link set down eth0

/ # ip link set up eth0

设置容器白名单,添加网络管理权限,此时不能查看磁盘分区,可以操作网络

[root@k8s1 ~]# docker run -it --rm --cap-add=NET_ADMIN busybox

/ # fdisk -l

/ # ip a a 10.0.0.1/24 dev eth0

/ # ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

inet 127.0.0.1/8 scope host lo

valid_lft forever preferred_lft forever

18: eth0@if19: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue

link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff

inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0

valid_lft forever preferred_lft forever

inet 10.0.0.1/24 scope global eth0

valid_lft forever preferred_lft forever

/ # ip a d 10.0.0.1/24 dev eth0

/ # ip a

fx_872431785
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker(5)--docker安全
m0_62885194的博客
03-04 267
一、Docker安全简介 Docker容器安全性,很大程度上依赖于Linux系统自身,评估Docker安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全。 Linux控制组机制对容器资源的控制能力安全。 Linux内核的能力机制所带来的操作权限安全Docker程序 (特别是服务端)本身的抗攻击性。 其他安全增强机制对容器安全性的影响。 1、命名空间隔离的安全docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间
docker-ce版离线安装包
12-13
然而,需要注意的是,离线安装可能无法自动更新Docker到最新版本,所以定期获取新的离线安装包以保持Docker安全性和稳定性是必要的。 总的来说,理解如何在CentOS 7上离线安装Docker CE是一项重要的IT技能,特别...
docker安全加固(lxcfs增强docker容器的隔离性、设置特权级运行的容器、设置容器白名单、安全加固思路 )
Aimee_c的博客
06-05 739
文章目录1.通过lxcfs增强docker容器的隔离性和资源可见性2.设置特权级运行的容器3.设置容器白名单:--cap-add4.安全加固思路4.1 保证镜像安全4.2 保证容器安全4.3 docker安全遗留问题 1.通过lxcfs增强docker容器的隔离性和资源可见性 docker run -it --name vm1 -m 256M ubuntu 创建一个容器并指定可用内存为256M 发现 看到的并不是256M 因为它的信息都是共享宿主机的 # 安装lxcfs yum install -y lxc
Docker安全加固——利用LXCFS增强docker容器隔离性和资源可见性
meltsnow的博客
07-15 729
前言 lxcfs是一个开源的FUSE(用户态文件系统)实现来支持LXC容器LXCFS通过用户态文件系统,在容器中提供下列 procfs 的文件: /proc/cpuinfo /proc/diskstats /proc/meminfo /proc/stat /proc/swaps /proc/uptime 比如,把宿主机的 /var/lib/lxcfs/proc/memoinfo 文件挂载到...
Docker网络 - docker network详解
热门推荐
Trollz的博客
08-05 3万+
Docker Network - docker network details
Docker -- yum安装dockerdocker-compose
TheBigBlue的博客
01-04 2387
向导1 环境介绍2 安装Docker3.安装docker-compose 1 环境介绍   首先, Docker 并不是容器,它是一个管理容器的引擎。采用Linux 版本是 CentOS 7,Docker 也更推荐在 Linux 环境下使用;Docker 支持 CentOS 6 及以后的版本,并且要求CentOS 系统的内核版本要高于 3.10,我们可以通过uname -r命令查看验证。   Docker版本分为Docker CE 和 Docker EE。Docker CE 即社区免费版,可永久免费使用;
所有linux系统离线安装包dockerdocker-compose
04-13
6. 启动Docker服务并检查其运行状态。 Docker Compose的离线安装类似,但可能还需要额外配置环境变量或者将可执行文件添加到PATH中,以确保系统能够识别和执行`docker-compose`命令。 安装命令通常包含在提供的...
docker-local.tar.gz
05-17
这些RPM文件组合在一起,构成了一个离线升级Docker CE 18.09的完整包,涵盖了从基础服务(如containerd和Docker CE本身)到安全组件(如SELinux)的所有必要元素。在没有网络的环境中,用户可以通过解压这个“docker...
docker-18.03.1-ce.zip
05-13
注意,离线安装可能会跳过自动更新和安全补丁的安装,因此需要定期手动检查和更新 Docker 到最新版本,以确保系统的安全性和稳定性。 在 "新建文本文档 (3).txt" 这个文件中,可能包含了安装指南、配置说明或其他...
docker-compose-Linux-x86_64.rar
10-26
6. **版本控制**: 版本1.24.1意味着它包含了该版本的所有特性,比如网络驱动的支持、服务级的健康检查和改进的服务卷配置等。每个版本的更新都会修复bug,添加新功能,或优化性能。 7. **与其他Docker工具集成**...
docker build 建立镜像,多出很多 none 的中间层镜像
m0_37192554的博客
07-15 252
实际上,这些镜像也没必要删除,在docker中,相同的层只会存一遍,而这些镜像是别的镜像的依赖,因此并不会因为它们被列出来而多存了一份,无论如何你也会需要它们。只要删除那些依赖它们的镜像后,这些依赖的中间层镜像也会被连带删除。当新版本发布后重新pull,旧的镜像名会被新镜像所占用,旧镜像的名字会变成。仓库名、标签均为的镜像被称为虚悬镜像,一般来说,虚悬镜像已经失去了存在的价值,是可以随意删除的。这些事 docker build 构建时候的中间层镜像不用删除,删除镜像会自动删除。
docker替换主程序排错
最新发布
1853
07-17 126
背景:经常会遇到主程序启动错误,导致无法进入到容器内部排错。
portainer教程-docker可视化管理工具
chaoren499的专栏
07-17 254
很多朋友刚接触docker 学习,就想问 docker有图形化界面吗 ,答案是肯定的, 这里白眉大叔 给大家推荐 Docker可视化管理平台 -- Portainer。
docker将Java、vue、nginx打进镜像(涉及容器打成镜像)
qq_37752382的博客
07-15 542
按照上文拉取centos7,然后将需要的东西直接打进脚本,这样最简单,但是在拉取过程中,初始镜像contos7安装nginx需要安装一些工具包,拉取的时候报错了,原因还是在镜像源上,并且还想在上面装一些工具,另外创建容器不应该在里面做很多初始化的东西,每次更新业务包就行,4)准备文件完成后执行下面的就行(如果配置文件不对,比如nginx的配置等先进入镜像手动调整好,没问题了,再删除掉容器和镜像重新制作镜像即可)本文不讲安装docker,安装好安装,镜像源稍微麻烦点。1)生成镜像并创建容器
CentOS Stream 卸载 Podman 并安装 Docker 的方法
路多辛的所思所想
07-14 500
Podman 是一个无守护进程的容器引擎,旨在提供与 Docker 类似的命令行接口,但不需要守护进程运行。Podman 是 Red Hat 的开源项目,具有安全性、兼容性和灵活性等优点。文章持续更新中,微信搜索【路多辛】阅读更多优质文章CentOS Stream 默认安装了 Podman 来代替 Docker,导致在 CentOS Stream 中安装 Docker 会和 Podman 冲突,所以要想安装 Docker 的话,需要先卸载掉 Podman。
Docker--在linux安装软件
qq_45576281的博客
07-14 958
1.打包:可以把软件以及软件的依赖打包制作成一个镜像(例如后面吧springboot和jdk)2.分发:你可以把你打包好的“安装包”上传到镜像仓库,其他人也可以很方便的获取和安装3.部署:拿着"安装包"就可以一个命令运行起来你的应用,自动模拟出一模一样的运行环境,不管是在Windows/Mac/Linux。
Docker无网环境下配置方法
exlink2012的专栏
07-17 180
这时,可在有外网的机器上,下载好docker镜像,然后,把docker镜像保存为文件,再到生产环境的机器上,加载docker镜像。
Docker基本管理
Decp_的博客
07-14 684
是一个开源的应用容器引擎,基于go语言开发并遵循了apache2.0协议开源是在Linux容器里运行应用的开源工具是一种轻量级的“虚拟机”Docker容器技术可以在一台主机上轻松为任何应用创建一个轻量级的、可移植的、自给自足的容器
docker emqx 配置密码和禁用匿名连接
weixin_41012767的博客
07-15 150
3.allow_anonymous, false改成true。1.首先把镜像内目录/opt/emqx/etc拷贝到本地。5.MQTTX连不上的话看看下图的有没有打开。
docker-compose-aarch64.tar下载
01-11
6. 确认您所下载的文件是否与您需要的文件名称相匹配,即docker-compose-aarch64.tar。确保文件名没有错误或拼写错误。 7. 在下载页面上,一般会提供一个下载按钮或链接。单击下载按钮或链接,开始下载docker-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值