Docker---docker安全加固之安全隔离

最新推荐文章于 2024-04-09 13:30:00 发布
最新推荐文章于 2024-04-09 13:30:00 发布
阅读量3.3k 收藏 4
点赞数
文章标签: docker 安全 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62341392/article/details/122418683
版权

目录

docker安全加固之安全隔离(如何增强隔离性)

设置特权级运行的容器:

--privileged=true(开特权)

【--cap-add只给某一个权限】

docker安全加固之安全隔离(如何增强隔离性)

server1

docker run -it --rm --memory 200M busybox
/ # free -m #给了200M但是swap出现的还是2G
*proc是没有做隔离的,所以容器和宿主机看到的是一样的【直接访问的是根下的proc】
free -m
yum install -y lxcfs-2.0.5-3.el7.centos.x86_64.rpm 
lxcfs  /var/lib/lxcfs &   #是lxcfs的数据目录,打入后台
cd /var/lib/lxcfs/
pwd
ls    #会生成相应的cgroup和proc
cd  cgroup/
ls
cd ..
cd proc/
ls  #可以看到每一个文件都分别代表宿主机的6样信息
ll /proc/

docker run -it --rm -m 200M -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw -v 
/var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw -v 
/var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw -v /var/lib/lxcfs/proc/stat:/proc/stat:rw -v 
/var/lib/lxcfs/proc/swaps:/proc/swaps:rw -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw 
ubuntu  
#用-v选项把刚才的6个文件挂接到容器内部,给200M

--/# free -m   #可以看到swap分区有200M

docker run -it --rm -m 300M -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw -v 
/var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw -v 
/var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw -v /var/lib/lxcfs/proc/stat:/proc/stat:rw -v 
/var/lib/lxcfs/proc/swaps:/proc/swaps:rw -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw 
ubuntu

--/# free -m   #可以看到swap分区有300M

设置特权级运行的容器:

--privileged=true(开特权)

docker run -it --rm busybox
--/ # ip addr
--/ # ip link set down dev eth0  #执行命令没有操作权限,不允许
--/ # id  #可以看到是超级用户

不退出,重新连接server1窗口

docker ps
docker inspect  5a65ea0b3b71
docker inspect  5a65ea0b3b71 | grep Privileged  #目前是false。(不开特权)

回到第一台server1窗口

--/ # fdisk -l  #看不到磁盘分区
docker run -it --rm --privileged=true busybox   #容器内提权
/ # fdisk -l  #可以看到磁盘分区了
/ # lsmod  #可以看到内核选项
docker run -it --rm --privileged=true ubuntu
/# fdisk -l
/# lsmem  #查看内存
/# date #时间一样,但是时区不一样

 

【--cap-add只给某一个权限】

docker run -it --rm --cap-add=NET_ADMIN busybox  
#添加管理网络

/# fdisk -l  #不能看到磁盘
/ # ip link
/ # ip link set down dev eth0 
 #可以看到已经禁掉网卡了

/ # ip addr
/ # ip link set up dev eth0   
#激活网卡

/ # ip addr


第2台server1窗口 

docker ps
docker inspect 64cd0456af3a
docker inspect 64cd0456af3 | less   #/Cap

 

 

 

芒果会飞
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker-compose安装包
12-19
Docker-Compose项目是Docker官方的开源项目,负责实现对Docker容器集群的快速编排。 Docker-Compose将所管理的容器分为三层,分别是工程(project),服务(service)以及容器(container)。Docker-Compose运行目录...
最新版本docker-compose v2.10.2
08-30
解决不支持docker-compose命令的问题,而从gihub下载缓慢,适用于x87_64的linux系统,
企业运维容器之 docker 安全
weixin_54720351的博客
05-31 465
企业运维容器之 docker 安全 1. Docker 安全2. 容器资源控制 1. Docker 安全 Docker 容器的安全,很大程度上依赖于Linux系统自身,评估Docker安全时,主要考虑以下几个方面: Linux 内核的命名空间机制提供的容器隔离安全; Linux 控制组机制对容器资源的控制能力安全; Linux 内核的能力机制所带来的操作权限安全Docker程序(特别是服务端)本身的抗攻击; 其他安全增强机制对容器安全的影响。 命名空间隔离安全docker run
07 | Docker 安全问题与解决办法
Cirtus的博客
10-09 862
07 | Docker 安全:基于内核的弱隔离系统如何保障安全? ocker 是基于 Linux 内核的 Namespace 技术实现资源隔离的,所有的容器都共享主机的内核。其实这与以虚拟机为代表的云计算时代还是有很多区别的,比如虚拟机有着更好的隔离安全,而容器的隔离安全则相对较弱。 在讨论容器的安全之前,我们先了解下容器与虚拟机的区别,这样可以帮助我们更好地了解容器的安全隐患以及如何加固容器安全。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xDdMEhw
如何设置Docker容器的网络隔离安全策略?
最新发布
04-09 78
总结来说,要设置Docker容器的网络隔离安全策略,需要选择合适的网络驱动、使用网络命名空间、使用容器编排工具、使用Docker内置的网络安全功能,以及使用第三方网络安全工具。使用第三方网络安全工具:除了Docker自带的网络安全功能外,还可以使用第三方网络安全工具来增强容器的网络隔离安全策略,如iptables、Calico等。使用Docker网络命名空间:每个Docker容器在创建时都会有自己独立的网络命名空间,这可以防止容器之间的网络冲突,并限制容器间的访问。
docker常用命令
zhy的博客
12-05 390
查看详细信息 docker info 查看版本 docker ‐‐version/version(c/s server:docker engine架构) 启动、停止、重启 systemctl start/stop/restart docker 开机启动 systemctl enable docker 查看运行状态 sytemctl status docker 拉取镜像 docker pull 镜...
docker上面部署nginx-waf 防火墙“modsecurity”,使用CRS规则,搭建WEB应用防火墙
2301_76429513的博客
08-13 603
web防火墙(waf)免费开源的比较少,并且真正可以商用的WAF少之又少,modsecurity 是开源防火墙鼻祖并且有正规公司在维护着,目前是https://www.trustwave.com在维护,不幸的是2024 年 7 月将不再维护交还开源社区管理,Trustwave目前打造自己的web防火墙,至于是否免费开源就不得而知了。ModSecurity目前依然是开源,免费的WAF一哥,我们就先用着吧,商业WAF费用太贵。
docker-compose v2.5.0版本安装包
05-06
内含两个文件,一个是二进制程序包,一个是install.sh安装脚本。...(你也可以自行去github上面下载最新的docker-compose的二进制包,但是这将浪费你半个小时的时间,然后还要自己安装。所以1.9元交个朋友)
docker-compose-window-2.14.2.exe
12-27
docker-compose-window-2.14.2.exe免费下载
docker-compose 容器部署 mqtt
07-30
docker-compose 容器部署 mqtt 配置文件
docker-waf:适用于Docker的基于NGINX和ModSecurity的Web应用程序防火墙
02-04
使用基于ModSecurity和NGINX构建的Web应用程序防火墙(WAF)保护Docker容器 出于多种原因,人们永远不能对在线安全过于偏执。 通常,默认情况下,容器被认为比虚拟机更安全,因为它们可以大大减少给定应用程序及其支持基础架构的攻击面。 但是,这并不意味着不应对安全的容器保持警惕。 除了遵循减轻容器安全风险的安全实践外,使用容器的安全实践还应使用边缘安全来保护容器。 部署到容器中的大多数应用程序都以某种方式通过暴露的端口连接到Internet。 传统上,应用程序是由诸如统一威胁管理(UTM)之类的边缘设备保护的,该设备可提供包括应用程序保护在内的一系列保护服务。 尽管容器的
ModSecurity搭建过程(保姆级教学)
R.W.Y的博客
08-22 1070
ModSecurity 有一个默认的配置文件样本,样本路径为/etc/modsecurity/modsecurity.conf-recommended,我们将其复制到名为 modsecurity.conf 的配置文件,以启用和配置ModSecurity。ModSecurity在/usr/share/modsecurity-crs目录中设置了默认规则。要使新的规则对apache生效,我们使用vim编辑/etc/apache2/mods-enabled/security2.conf文件。
基于busybox构建最小linux Docker镜像系统
hknaruto的专栏
04-18 1万+
基本概念 1. Dockerfile 中可以通过FROM scratch引用一个docker内置的空镜像 2. Docker 容器的内核都是共享宿主操作系统的内核,容器启动后docker会自动在容器内建立系统目录:dev, etc, proc, run, sys 及系统文件 3. Docker 容器内是一个隔离的基于宿主系统内核的运行环境(或理解为 操作系统)。Docker 内的操作系统是以
lsmod
weixin_33947521的博客
01-16 557
Linux命令:lsmod——显示已载入系统的模块 lsmod 其实就是list modules的缩写,即 列出所有模块. 功能说明:显示已载入系统的模块。 语法:lsmod 模块名称 说明:执行lsmod指令,会列出所有已载入系统的模块。Linux操作系统的核心具有模块化的特,因此在编译核心时,无需把全部的功能都放入核心。你可以将这些功能编译成一个个单独的模块,...
linux lsmod命令详解
热门推荐
Howie的专栏
05-22 4万+
lsmod  (list modules) 语  法:lsmod 功          能: lsmod 命令:是一个小程序,用来显示文件、proc/modules的信息,也就是显示当前内核模块装载的模块。 补充说明: 执行lsmod指令,会列出所有已载入系统的模块。Linux操作系统的核心具有模块化的特,应此在编译核心时,务须把全部的功能都放入核心。您可以将这些功能编
Docker实战番外 之在CentOs6.5上安装Docker
weixin_34310369的博客
06-11 98
2019独角兽企业重金招聘Python工程师标准>>> ...
关于docker镜像modsecurity nginx.conf conf.d 被覆盖解决
weixin_56576835的博客
06-14 419
启动之后覆盖看日志是因为有个启动脚本templates.sh 将 templates 目录下面的nginx.conf.template 文件 修改成/etc/nginx/nginx.conf 文件。解决方法 (1)修改dockerfile文件 将宿主机上面的nginx.conf copy到 /etc/nginx/templates/nginx.conf.template。conf.d 也是同样的问题 不过 我没有使用conf.d 里面的文件 我直接在nginx.conf 引用了其他目录。
浅谈Docker隔离安全
liukuan73的专栏
05-29 4020
https://community.emc.com/docs/DOC-44930 介绍         相信很多开发者都默认Docker这样的容器是一种沙盒(sandbox)应用,也就是说他们可以用root权限在Docker中运行随便什么应用,而Docker安全机制能保护宿主系统。比如,有些人觉得Docker容器里面的进程跟虚拟机里面的进程一样安全;还有的人随便找个源就下载
Docker-compose 教程全集 PDF 53页
07-07
Docker-compose教程全集是一份深入讲解Docker容器集群编排的详细指南,它是由Docker官方维护的开源工具,旨在简化多容器应用的部署和管理。Docker-compose主要关注三个层次的组织:项目(project)、服务(service)...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值