Docker实验(十)Docker容器的安全加固(LXCFS,特权级运行容器)

最新推荐文章于 2023-04-16 14:18:08 发布
最新推荐文章于 2023-04-16 14:18:08 发布
阅读量901 收藏 3
点赞数 1
分类专栏: 项目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39376481/article/details/95347195
版权

一.安全加固

  • 安全加固的思路
    保证镜像的安全
    1.使用安全的基础镜像
    2.删除镜像中的setuid和setgid权限
    3.启用Docker的内容信任
    4.最小安装原则
    5.对镜像进行安全漏洞扫描,镜像安全扫描器:Clair
    6.容器使用非root用户运行
  • 保证容器的安全
    1.对docker宿主机进行安全加固
    2.限制容器之间的网络流量
    3.配置Docker守护程序的TLS身份验证
    4.启用用户命名空间支持
    5.限制容器的内存使用量
    6.适当设置容器CPU优先级
  • Docker安全遗留问题
  • 主要的内核子系统都没有命名空间,如:SELinux,cgroup,在/sys下的文件系统,/proc/sys, /proc/sysrq-trigger, /proc/irq, /proc/bus
    设备没有命名空间:/dev/mem,/dev/sd*文件系统设备,内核模块

二.利用LXCFS增强docker容器隔离性和资源可见性

  • Linux利用Cgroup实现了对容器的资源限制,但在容器内部依然缺省挂载了宿主机上的procfs的/proc目录,其包含如:meminfo, cpuinfo,stat, uptime等资源信息。一些监控工具如free/top或遗留应用还依赖上述文件内容获取资源配置和使用情况。当它们在容器中运行时,就会把宿主机的资源状态读取出来,引起错误和不便。社区中常见的做法是利用 lxcfs来提供容器中的资源可见性。lxcfs 是一个开源的FUSE(用户态文件系统)实现来支持LXC容器,它也可以支持Docker容器。
  • 如果默认建立容器,那么容器中看到的内存信息是主机的,这是不合理的,但是在主机中,我们又控制了资源,可是却无法显示,本实验要做的是在容器中资源也将被限制,显示被限制后的资源
  • LXCFS通过用户态文件系统,在容器中提供下列 procfs 的文件。
    /proc/cpuinfo
    /proc/diskstats
    /proc/meminfo
    /proc/stat
    /proc/swaps
    /proc/
最低0.47元/天 解锁文章
束安
关注
专栏目录
容器安全加固
悦分享
07-07 486
Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面∶●Linux内核的命名空间机制提供的容器隔离安全●Linux控制组机制对容器资源的控制能力安全。●Linux内核的能力机制所带来的操作权限安全●Docker程序(特别是服务端)本身的抗攻击性。●其他安全增强机制对容器安全性的影响。在使用 docker 运行容器时,默认的情况下,docker没有对容器进行硬件资源的限制,当一台主机上运行几百个容器,这些容器虽然互相隔离,但是底层却使用着相同的 CPU
docker容器安全加固参考建议——筑梦之路
最新发布
筑梦之路
08-18 1223
在以 root 用户身份运行 Docker 的情况下,容器内的进程可能会尝试特权,获取宿主系统的 root 权限。:如果一个容器以 root 权限运行,并且它包含了漏洞或者被攻击者滥用,那么攻击者可能会成功逃出容器,并在宿主系统上执行恶意操作。:使用 Docker 的能力(capabilities)设置来限制容器的权限,仅提供所需的最小权限来运行应用程序。:以 root 用户身份运行容器可以访问宿主系统上的文件系统,这可能会导致机密文件的泄漏或文件的损坏。:使用 Docker 的安全配置选项,如。
容器安全加固方案
weixin_33892359的博客
05-11 254
2019独角兽企业重金招聘Python工程师标准>>> ...
Docker安全加固——利用LXCFS增强docker容器隔离性和资源可见性
even160941的博客
08-11 636
文章目录前言利用LXCFS增强docker容器隔离性和资源可见性设置特权运行容器:–privileged=true安全加固的思路保证镜像的安全保证容器的安全docker安全的遗留问题总结 前言 lxcfs是一个开源的FUSE(用户态文件系统)实现来支持LXC容器LXCFS通过用户态文件系统,在容器中提供下列 procfs 的文件: /proc/cpuinfo /proc/diskstat...
Docker安全加固之--LXCFS
weixin_42446031的博客
06-12 5691
我们在上一章讲过了docker容器的安全,那么在这一章我们再来讲一下lxcfs来提供容器中的资源可见性。 lxcfs是一个开源的FUSE(用户态文件系统)实现来支持LXC容器LXCFS通过用户态文件系统,在容器中提供下列 procfs 的文件: /proc/cpuinfo /proc/diskstats /proc/meminfo /proc/stat /proc/swaps /proc/u...
docker安全加固(lxcfs增强docker容器的隔离性、设置特权运行容器、设置容器白名单、安全加固思路 )
Aimee_c的博客
06-05 898
文章目录1.通过lxcfs增强docker容器的隔离性和资源可见性2.设置特权运行容器3.设置容器白名单:--cap-add4.安全加固思路4.1 保证镜像安全4.2 保证容器安全4.3 docker安全遗留问题 1.通过lxcfs增强docker容器的隔离性和资源可见性 docker run -it --name vm1 -m 256M ubuntu 创建一个容器并指定可用内存为256M 发现 看到的并不是256M 因为它的信息都是共享宿主机的 # 安装lxcfs yum install -y lxc
DockerDocker安全、容器资源控制(CPU、内存、磁盘IO)、安全加固lxcfs特权、白名单)
sl963216757的博客
06-29 425
一、理解Docker安全 Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全 Linux控制组机制对容器资源的控制能力安全。 Linux内核的能力机制所带来的操作权限安全 Docker程序(特别是服务端)本身的抗攻击性。 其他安全增强机制对容器安全性的影响。   1 命名空间隔离的安全 当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提
Docker --docker安全、docker资源控制、docker安全加固
ly660402的博客
02-19 918
Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全 Linux控制组机制对容器资源的控制能力安全。 Linux内核的能力机制所带来的操作权限安全 Docker程序(特别是服务端)本身的抗攻击性。 其他安全增强机制对容器安全性的影响。 命名空间隔离的安全 当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。 与虚拟机方...
Linux之Docker中的安全加固(限制内存、cpu、磁盘操作次数等安全加固方法)
qq_43830639的博客
08-12 648
默认情况下,docker容器运行时没有对硬件资源进行限制,这会导致容器占用全部的cpu等资源,一旦内核检测到没有足够的内存可以分配,就会抛出OOME(Out Of Memory Exception),并开始杀死一些进程用于释放内存空间,为了避免docker daemon被kill掉,docker通过调整daemon的OOM优先来缓解,但容器的优先并未被调整。资源不足以分配时,内核会对系统中所有...
docker安全:容器资源控制(cpu,内存,Block IO 限制),利用LXCFS增强docker容器隔离性和资源可见性
ninimino的博客
01-29 647
Docker 安全1.Docker 安全1.1命名空间隔离的安全1.2控制组资源控制的安全1.3内核能力机制1.4Docker服务端防护1.5其他安全特性2.容器资源控制2.1CPU限额2.2内存限制限制使用内存用户限制使用内存2.3Block IO限制3.docker安全加固安全加固的思路保证容器的安全3.1利用LXCFS增强docker容器隔离性和资源可见性3.2设置特权运行容器:--privileged=true3.3设置容器白名单:--cap-adddocker安全的遗留问题 1.Docker
应用LXCFS来解决容器内获取CPU/内存不准的问题
weixin_52990636的博客
12-16 2252
不知道小伙伴们有没有遇到这种情况,你明明启动的是一个4核8G的容器或Pod,但是进入容器使用free或top看到的却不是4核8G。比如,云君随手使用docker run命令甩出一个只有256mb的容器,待容器启动之后发现free和top显示的都是宿主机的CPU和内存等信息。这会导致啥后果呢?默认情况下,这会让容器中的应用程序误以为自己可以使用更多的资源(宿主机资源)。
基于LXCFS增强docker容器隔离性的分析
zhuangshu_feng'‘每天进步一点点
02-23 5177
1. 背景 容器虚拟化带来轻量高效,快速部署的同时,也因其隔离性不够彻底,给用户带来一定程度的使用不便。Docker容器由于Linux内核namespace本身还不够完善的现状(例如,没有cgroup namespace,user namespace也是在kernel高版本才开始支持, /dev设备不隔离等),因此docker容器在隔离性方面也存在一些缺陷。例如,在容器内部proc文件系统中
docker实践(4) docker资源限制和lxcfs实现对容器资源视图隔离
黄规速博客:学如逆水行舟,不进则退
09-09 557
docker 是通过 CPU cgroups 来限制容器使用的cpu上限,而和CPU groups有关的三个比较重要的参数是: cpu.cfs_quota_us、cpu.cfs_period_us、cpu.shares.
使用 LXCFS 文件系统实现容器资源可见性
愿许浪尽天涯的博客
04-16 2603
Linux 利用 Cgroup 实现了对容器资源的限制,但是当在容器运行 top 命令时就会发现,它显示的信息是宿主机的 CPU 和 内存数据,而不是当前容器的数据。造成这个问题的原因,就是因为 /proc 文件系统并不了解 Cgroup 限制的存在。
Kubernetes lxcfs
weixin_41020960的博客
04-23 346
容器实现的基础是NameSpace和Cgroups。 NameSpace实现了对容器(进程)的隔离,NameSpace技术实际上修改了应用进程看待整个计算机“视图”,也就是作用域,即它的“视线”被操作系统做了限制,只能“看到”某些指定的内容,实现方式类似于将全局变量修改为了局部变量。 Cgroup实现了对容器(进程)资源的限制,但是在容器内部依然缺省挂载了宿主机的procfs的/proc目录,其中包含:meminfo,cpuinfo,stat,uptime等资源信息。一些监控工具如 free/top 会
Docker特权容器与capability
SHELLCODE_8BIT的博客
08-17 630
(1条消息) Docker 容器安全(1):我的容器真的需要privileged权限吗?_富士康质检员张全蛋的博客-CSDN博客_docker privileged
特权容器以及安全隐患的规避
Demonslzh的博客
10-24 2818
Docker特权模式授予Docker容器对主机系统上所有设备的根权限。因此也会产生安全隐患。本文讲述相关的安全隐患以及规避方法。
Docker数据卷、Docker安全
weixin_44891093的博客
11-15 791
Docker数据卷、Docker安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值