docker安全：容器资源控制(cpu,内存,Block IO 限制)，利用LXCFS增强docker容器隔离性和资源可见性

1.Docker 安全

Docker容器的安全性，很大程度上依赖于Linux系统自身，评估Docker的安全性时，主要考虑以下几个方面：
Linux内核的命名空间机制提供的容器隔离安全
Linux控制组机制对容器资源的控制能力安全。
Linux内核的能力机制所带来的操作权限安全
Docker程序（特别是服务端）本身的抗攻击性。
其他安全增强机制对容器安全性的影响。

1.1命名空间隔离的安全

当docker run启动一个容器时，Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。
与虚拟机方式相比，通过Linux namespace来实现的隔离不是那么彻底。
容器只是运行在宿主机上的一种特殊的进程，那么多个容器之间使用的就还是同一个宿主机的操作系统内核。
在 Linux 内核中，有很多资源和对象是不能被 Namespace 化的，比如：时间。

1.2控制组资源控制的安全

当docker run启动一个容器时，Docker将在后台为容器创建一个独立的控制组策略集合。
Linux Cgroups提供了很多有用的特性，确保各容器可以公平地分享主机的内存、CPU、磁盘IO等资源。
确保当发生在容器内的资源压力不会影响到本地主机系统和其他容器，它在防止拒绝服务攻击（DDoS）方面必不可少。

1.3内核能力机制

能力机制（Capability）是Linux内核一个强大的特性，可以提供细粒度的权限访问控制。
大部分情况下，“真正的”root权限，容器只需要少数的能力即可。
默认情况下，Docker采用“白名单”机制，禁用“必需功能”之外的其他权限。

1.4Docker服务端防护

使用Docker容器的核心是Docker服务端，确保只有可信的用户才能访问到Docker服务。
将容器的root用户映射到本地主机上的非root用户，减轻容器和主机之间因权限提升而引起的安全问题。
允许Docker 服务端在非root权限下运行，利用安全可靠的子进程来代理执行需要特权权限的操作。这些子进程只允许在特定范围内进行操作。

1.5其他安全特性

在内核中启用GRSEC和PAX，这将增加更多的编译和运行时的安全检查；并且通过地址随机化机制来避免恶意探测等。启用该特性不需要Docker进行任何配置。
使用一些有增强安全特性的容器模板。
用户可以自定义更加严格的访问控制机制来定制安全策略。
在文件系统挂载到容器内部时，可以通过配置只读模式来避免容器内的应用通过文件系统破坏外部环境，特别是一些系统运行状态相关的目录。

2.容器资源控制

在 /sys/fs/cgroup下面有很多诸如 cpuset、cpu、 memory这样的子目录，也叫子系统。
在每个子系统下面，为每个容器创建一个控制组（即创建一个新目录）。
控制组下面的资源文件里填上什么值，就靠用户执行 docker run 时的参数指定。
在命令行中所加的参数会直接修改文件里面的内容

帮助

2.1CPU限额

docker run -it --cpu-period=100000 --cpu-quota=20000 ubuntu

cpu_period 和 cpu_quota 这两个参数需要组合使用，用来限制进程在长度为 cpu_period 的一段时间内，只能被分配到总量为 cpu_quota 的 CPU 时间，以上设置表示20%的cpu时间``

所有的容器默认在docker目录中生成
如果cpu.cfs_quota_us 为-1 则为100%

cpu优先级
当两个容器一起运行的时候，如果优先级一样，则各占cpu50%

当优先级为512为默认的1/2时，则只能有对方一半的cpu

2.2内存限制

容器可用内存包括两个部分：物理内存和swap交换分区。

docker run -it --memory 200M --memory-swap=200M ubuntu
–memory设置内存使用限额
–memory-swap设置swap交换分区限额

限制使用内存

mkdir /sys/fs/cgroup/memory/x1

补充： 先设置内存，再设置交换分区，否则会出现报错

用户级限制使用内存

2.3Block IO限制

docker run -it --device-write-bps /dev/vda:30MB ubuntu
写的速度限制在30M/s左右

--device-write-bps限制写设备的bps
目前的block IO限制只对direct IO有效。（不使用文件缓存）

3.docker安全加固

安全加固的思路

保证镜像的安全
使用安全的基础镜像
删除镜像中的setuid和setgid权限
启用Docker的内容信任
最小安装原则
对镜像进行安全漏洞扫描，镜像安全扫描器：Clair
容器使用非root用户运行

保证容器的安全

对docker宿主机进行安全加固
限制容器之间的网络流量
配置Docker守护程序的TLS身份验证
启用用户命名空间支持(userns-remap)
限制容器的内存使用量
适当设置容器CPU优先级

3.1利用LXCFS增强docker容器隔离性和资源可见性

yum install -y lxcfs-2.0.5-3.el7.centos.x86_64.rpm
lxcfs /var/lib/lxcfs &

docker run  -it -m 200m \
      -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
      -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
      -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
      -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
      -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
      -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
      ubuntu

3.2设置特权级运行的容器：–privileged=true

有的时候我们需要容器具备更多的权限，比如操作内核模块，控制swap交换分区，挂载USB磁盘，修改MAC地址等。
#docker run -it --name vm1 ubuntu bash

3.3设置容器白名单：–cap-add

privileged=true 的权限非常大，接近于宿主机的权限，
为了防止用户的滥用，需要增加限制，只提供给容器必须的权限。
此时Docker 提供了权限白名单的机制，使用--cap-add添加必要的权限。
capabilities手册地址：
http://man7.org/linux/man-pages/man7/capabilities.7.html

docker run -it --cap-add=NET_ADMIN --name vm1 ubuntu
# docker inspect -f {{.HostConfig.Privileged}} vm1
false
# docker inspect -f {{.HostConfig.CapAdd}} vm1
{[NET_ADMIN]}

docker安全的遗留问题

主要的内核子系统都没有命名空间，如：
SELinux
cgroup
在/sys下的文件系统
/proc/sys, /proc/sysrq-trigger, /proc/irq, /proc/bus
设备没有命名空间：
/dev/mem
/dev/sd*文件系统设备
内核模块
如果你能沟通或攻击的其中之一作为特权的过程中，你可以拥有自己的系统。