一、理解docker安全
• Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面:
• Linux内核的命名空间机制提供的容器隔离安全
• Linux控制组机制对容器资源的控制能力安全。
• Linux内核的能力机制所带来的操作权限安全
• Docker程序(特别是服务端)本身的抗攻击性。
• 其他安全增强机制对容器安全性的影响。
1、• 命名空间隔离的安全
• 当docker run启动一个容器时,Docker将在后台为容器创建一个
独立的命名空间。命名空间提供了最基础也最直接的隔离。
• 与虚拟机方式相比,通过Linux namespace来实现的隔离不是那
么彻底。
• 容器只是运行在宿主机上的一种特殊的进程,那么多个容器之间使
用的就还是同一个宿主机的操作系统内核。
• 在 Linux 内核中,有很多资源和对象是不能被 Namespace 化的,
比如:时间。
2、• 控制组资源控制的安全
• 当docker run启动一个容器时,Docker将在后台为容器创建一个独立的
控制组策略集合。
• Linux Cgroups提供了很多有用的特性,确保各容器可以公平地分享主机
的内存、CPU、磁盘IO等资源。
• 确保当发生在容器内的资源压力不会影响到本地主机系统和其他容器,它
在防止拒绝服务攻击(DDoS)方面必不可少。
3、• 内核能力机制
• 能力机制(Capability)是Linux内核一个强大的特性,可以提供细粒度
的权限访问控制。
• 大部分情况下,容器并不需要“真正的”root权限,容器只需要少数的能
力即可。
• 默认情况下,Docker采用“白名单”机制,禁用“必需功能”之外的其
他权限
4、• Docker服务端防护
• 使用Docker容器的核心是Docker服务端,确保只有可信的用户才能访问
到Docker服务。
• 将容器的root用户映射到本地主机上的非root用户,减轻容器和主机之间
因权限提升而引起的安全问题。
• 允许Docker 服务端在非root权限下运行,利用安全可靠的子进程来代理
执行需要特权权限的操作。这些子进程只允许在特定范围内进行操作。
5、• 其他安全特性
• 在内核中启用GRSEC和PAX,这将增加更多的编译和运行时的
安全检查;并且通过地址随机化机制来避免恶意探测等。启用该
特性不需要Docker进行任何配置。
• 使用一些有增强安全特性的容器模板。
• 用户可以自定义更加严格的访问控制机制来定制安全策略。
• 在文件系统挂载到容器内部时,可以通过配置只读模式来避免容
器内的应用通过文件系统破坏外部环境,特别是一些系统运行状
态相关的目录。
容器资源控制,如果我们不对容器资源进行控制,那么就会很容易收到Ddos攻击,因此我们要对其进行控制来确保各容器能公平的分享主机的各种资源
下边就是对cpu进行了控制,这里的cpu总量是100000,我们分配给了busybox20000,因此它的cpu占比就会稳定在百分之20左右
我们也可以对内存进行控制
[root@docker1 ~]# free -m
total used free shared buff/cache available
Mem: 972 187 174 7 610 572
Swap: 2047 0 2047
[root@docker1 ~]# cd /dev/shm/
[root@docker1 shm]# ls
[root@docker1 shm]# dd if=/dev/zero of=file1 bs=1M count=100
100+0 records in
100+0 records out
104857600 bytes (105 MB) copied, 0.248659 s, 422 MB/s
[root@docker1 shm]# free -m
total used free shared buff/cache available
Mem: 972 187 74 107 710 472
Swap: 2047 0 2047
首先对物理内存以及可能存在的换区存储进行限制,然后在进行数据的传输会发现大于我们设定的上限 的时候就会killed,说明我们的限制有效果
[root@docker1 haha]# echo 268435456 > memory.memsw.limit_in_bytes
[root@docker1 shm]# cgexec -g memory:haha dd if=/dev/zero of=file1 bs=1M count=200
200+0 records in
200+0 records out
209715200 bytes (210 MB) copied, 0.452004 s, 464 MB/s
[root@docker1 shm]# free -m
total used free shared buff/cache available
Mem: 972 187 69 207 714 373
Swap: 2047 0 2047
[root@docker1 shm]# cgexec -g memory:haha dd if=/dev/zero of=file1 bs=1M count=256
Killed
[root@docker1 2e72df19ab06a5b5fb3d70a688c59d8c257b7109f55839ab4ec1516d1249c29a]# cat tasks
10086
10136
10137
[root@docker1 2e72df19ab06a5b5fb3d70a688c59d8c257b7109f55839ab4ec1516d1249c29a]# cat memory.limit_in_bytes
268435456
[root@docker1 2e72df19ab06a5b5fb3d70a688c59d8c257b7109f55839ab4ec1516d1249c29a]# cat memory.memsw.limit_in_bytes
268435456
这是对数据的写入速度进行限制,我们限制每秒30M的写入速度;加oflag=direct的目的是不让它走缓存,否则限制了数据写入速率但是并不会有效果
[root@docker1 ~]# docker run -it --device-write-bps /dev/sda:30MB ubuntu
root@8fe4b0866129:/# dd if=/dev/zero of=file1 bs=1M count=100 oflag=direct
100+0 records in
100+0 records out
104857600 bytes (105 MB, 100 MiB) copied, 3.33284 s, 31.5 MB/s
二、docker安全加固
使用LXCFS增强docker容器的隔离性和资源可见性
[root@docker1 ~]# docker run -it -m 256m \
> -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
> -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
> -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
> -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
> -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
> -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
> ubuntu
root@2b7c78c8bb4a:/# free -m
total used free shared buff/cache available
Mem: 256 2 253 261 0 253
Swap: 256 0 256
root@2b7c78c8bb4a:/# exit
–privileged=true 的权限非常大,接近于宿主机的权限,为了防止用户的滥用,需要增加限制,只提供给容器必须的权限。此时Docker 提供了权限白名单的机制,使用–cap-add添加必要的权限。
[root@docker1 ~]# docker run -it --rm --privileged=true busybox
/ # ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
20: eth0@if21: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue
link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
valid_lft forever preferred_lft forever
/ # ip link set down eth0
/ # ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
20: eth0@if21: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noqueue
link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
valid_lft forever preferred_lft forever
–cap-add=NET_ADMIN这个就只是添加了有关于网络的权限,对于其他的权限并不赋予,比如想要查看网卡,就不会被允许
[root@docker1 ~]# docker run -it --rm --cap-add=NET_ADMIN busybox
/ # fdisk -l
/ # ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
22: eth0@if23: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue
link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
valid_lft forever preferred_lft forever
/ # ip addr add 172.17.0.3/24 dev eth0