docker容器的安全加固

最新推荐文章于 2024-08-18 16:07:11 发布
最新推荐文章于 2024-08-18 16:07:11 发布
阅读量789 收藏 1
点赞数
分类专栏: Linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41830712/article/details/90936327
版权
Linux 同时被 2 个专栏收录
58 篇文章 1 订阅
订阅专栏
运维
48 篇文章 1 订阅
订阅专栏

前言:

社区中常用的做法是利用lxcfs来提供容器中的资源可见性。lxcfs是一个开源的FUSE(用户态文件系统)实现来支持LXC容器。

LXCFS通过用户态文件系统,在容器中提供下列 procfs 的文件:

/proc/cpuinfo
/proc/diskstats
/proc/meminfo
/proc/stat
/proc/swaps
/proc/uptime

比如,把宿主机的 /var/lib/lxcfs/proc/memoinfo 文件挂载到Docker容器的/proc/meminfo位置后。容器中进程读取相应文件内容时,LXCFS的FUSE实现会从容器对应的Cgroup中 读取正确的内存限制。从而使得应用获得正确的资源约束设定

一、利用LXCFS增强docker容器隔离性和资源可见性

问题:我们在不做这个的时后,默认建立的容器查看到的内存相关信息是主机的,这是不合理的。我们前面已经学过资源控制了,已经控制了资源,查看到的又不符合,这是不对的。
在这里插入图片描述

1、下载LXCFS软件

[root@server1 ~]# ls
docker  lxcfs-2.0.5-3.el7.centos.x86_64.rpm  memory.limit_in_bytez~
images  memory.limit_in_bytes~
[root@server1 ~]# yum install lxcfs-2.0.5-3.el7.centos.x86_64.rpm -y

安装完lxcfs之后,会在/var/lib目录下生成lxcfs目录。只是/var/lib/lxcfs目录中没有内容。

2、启动lxcfs

[root@server1 ~]# cd /var/lib/lxcfs/
[root@server1 lxcfs]# ls
[root@server1 lxcfs]# lxcfs /var/lib/lxcfs/ &		#按回车结束,千万不要用Crtl+c,因为Ctrl+c会将该进程杀死。
[1] 2562
[root@server1 lxcfs]# hierarchies:
  0: fd:   5: devices
  1: fd:   6: hugetlb
  2: fd:   7: perf_event
  3: fd:   8: blkio
  4: fd:   9: net_prio,net_cls
  5: fd:  10: freezer
  6: fd:  11: memory
  7: fd:  12: cpuacct,cpu
  8: fd:  13: pids
  9: fd:  14: cpuset
 10: fd:  15: name=systemd
[root@server1 lxcfs]# cd
[root@server1 ~]# cd /var/lib/lxcfs/				#启动lxcfs之后,会在/var/lib/lxcfs目录下生成cgroup目录和proc目录
[root@server1 lxcfs]# ls
cgroup  proc
  • 使用"ps ax"命令,查看lxcfs的进程
    在这里插入图片描述

3、在docker中测试

[root@server1 ~]# docker run -it --name vm5 -m 200m \
> -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo \
> -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
> -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
> -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
> -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
> -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
> ubuntu
root@37d78a73f207:/# free -m			#我们可以看到总内存为200m,表示配置成功
             total       used       free     shared    buffers     cached
Mem:           200          1        198        314          0          0
-/+ buffers/cache:          1        198
Swap:          200          0        200
root@37d78a73f207:/#
  • 注意:
    不能直接把/var/lib/lxcfs/proc目录挂载到容器内的/proc目录下,因为容器内的/proc目录下本身是有内容的,是系统的进程信息等等,如果直接把/var/lib/lxcfs/proc目录挂载到容器内的/proc目录下,会覆盖容器内/proc目录下的内容,而/proc目录下记录的是容器的进程信息等等内容,是不能被覆盖的,所以不能直接把/var/lib/lxcfs/proc目录挂载到容器内的/proc目录下。

二、设置特权级运行的容器:–privileged=true

有的时候我们需要容器具备更多的权限,比如操作内核模块,控制swap交换分区,挂载USB磁盘,修改MAC地址等。
我们建立容器后,进入容器的root帐号的权限是受限制的,不是真正的root用户。
在这里插入图片描述
加入–privileged=true参数,获得的是具有管理员权限的root用户。

[root@server1 ~]# docker run -it --name vm2 --privileged=true ubuntu

在这里插入图片描述

2、设置容器白名单:–cap-add

–privileged=true 的权限非常大,接近于宿主机的权限,为了防止用户的滥用,需要增加限制,只提供给容器必须的权限。此时Docker 提供了权限白名单的机制,使用–cap-add添加必要的权限。
在这里插入图片描述

那人如此可好
关注
专栏目录
Docker服务安全加固
qq_40907977的博客
02-09 487
转载来源 : https://help.aliyun.com/knowledge_detail/60789.html 介绍 Docker是一个开源的引擎,可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器。本文介绍了使用Docker服务的安全加固方案,帮助您搭建一个安全可靠的容器集成环境。 加固主机操作系统 在部署前需要对服务器操作系统进行安全加固,例如,更新所有软件补丁、配置强密码、...
容器安全加固方案
weixin_33892359的博客
05-11 243
2019独角兽企业重金招聘Python工程师标准>>> ...
docker容器安全加固参考建议——筑梦之路
最新发布
筑梦之路
08-18 1154
在以 root 用户身份运行 Docker 的情况下,容器内的进程可能会尝试特权升级,获取宿主系统的 root 权限。:如果一个容器以 root 权限运行,并且它包含了漏洞或者被攻击者滥用,那么攻击者可能会成功逃出容器,并在宿主系统上执行恶意操作。:使用 Docker 的能力(capabilities)设置来限制容器的权限,仅提供所需的最小权限来运行应用程序。:以 root 用户身份运行的容器可以访问宿主系统上的文件系统,这可能会导致机密文件的泄漏或文件的损坏。:使用 Docker 的安全配置选项,如。
docker安全之容器资源控制 安全加固
LY_CS的博客
03-03 4746
目录 一、cgroup简介 二、 容器资源控制 1、内存限制 ​2、cpu限额 ​3、Block IO限制 ​三、docker 安全加固 在使用 docker 运行容器时,默认的情况下,docker没有对容器进行硬件资源的限制,当一台主机上运行几百个容器,这些容器虽然互相隔离,但是底层却使用着相同的 CPU、内存和磁盘资源。如果不对容器使用的资源进行限制,那么容器之间会互相影响,小的来说会导致容器资源使用不公平;大的来说,可能会导致主机和集群资源耗尽,服务完全不可用。 docker 作为
docker(5)docker安全、docker安全加固
qiao_qing的博客
02-03 696
文章目录1.docker安全的理解1)linux内核的命名空间机制提供的容器隔离安全2)linux控制组机制3)linux内核的命名空间隔离的安全4)控制组资源控制的安全2.容器的资源控制1)CPU限额2)内存限制3)容器内资源控制,会自动计算3.docker安全加固设置特权级运行的容器设置容器白名单安全加固的思路 1.docker安全的理解 评估Docker的安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全 Linux控制组机制对容器资源的控制能力安全。 Linux内.
企业运维容器docker 安全
weixin_54720351的博客
05-31 567
企业运维容器docker 安全 1. Docker 安全2. 容器资源控制 1. Docker 安全 Docker 容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面: Linux 内核的命名空间机制提供的容器隔离安全; Linux 控制组机制对容器资源的控制能力安全; Linux 内核的能力机制所带来的操作权限安全; Docker程序(特别是服务端)本身的抗攻击性; 其他安全增强机制对容器安全性的影响。 命名空间隔离的安全 当docker run
Docker容器安全加固措施:漏洞防范
[Docker容器安全加固措施:漏洞防范](https://img-blog.csdnimg.cn/direct/cca32b216cc74b20a5d2ce26c9bc9cae.png) # 1. Docker容器安全概述 Docker容器是一种轻量级的虚拟化技术,它允许在单个主机上运行多个隔离...
Docker容器安全加固与监控
Docker容器安全概述 ## 1.1 什么是Docker容器Docker是一种轻量级的虚拟化解决方案,可以将应用程序及其依赖项打包到一个可移植的容器中,然后在任何支持Docker的环境中运行。容器化技术的出现,极大地简化了...
Docker --docker安全、docker资源控制、docker安全加固
ly660402的博客
02-19 876
Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全 Linux控制组机制对容器资源的控制能力安全。 Linux内核的能力机制所带来的操作权限安全 Docker程序(特别是服务端)本身的抗攻击性。 其他安全增强机制对容器安全性的影响。 命名空间隔离的安全 当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。 与虚拟机方...
Linux Docker容器 安全之容器资源控制 安全加固
weixin_45029822的博客
08-18 289
一、背景 在使用 docker 运行容器时,默认的情况下,docker没有对容器进行硬件资源的限制,当一台主机上运行几百个容器,这些容器虽然互相隔离,但是底层却使用着相同的 CPU、内存和磁盘资源。如果不对容器使用的资源进行限制,那么容器之间会互相影响,小的来说会导致容器资源使用不公平;大的来说,可能会导致主机和集群资源耗尽,服务完全不可用。 docker 作为容器的管理者,自然提供了控制容器资源的功能。正如使用内核的 namespace 来做容器之间的隔离,docker 也是通过内核的 cgroups 来
Docker---docker安全加固之安全隔离
m0_62341392的博客
01-10 3383
目录 docker安全加固之安全隔离(如何增强隔离性) 设置特权级运行的容器: --privileged=true(开特权) 【--cap-add只给某一个权限】 docker安全加固之安全隔离(如何增强隔离性) server1 docker run -it --rm --memory 200M busybox / # free -m #给了200M但是swap出现的还是2G *proc是没有做隔离的,所以容器和宿主机看到的是一样的【直接访问的是根下的proc】 free -m
容器安全加固
悦分享
07-07 463
Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面∶●Linux内核的命名空间机制提供的容器隔离安全●Linux控制组机制对容器资源的控制能力安全。●Linux内核的能力机制所带来的操作权限安全●Docker程序(特别是服务端)本身的抗攻击性。●其他安全增强机制对容器安全性的影响。在使用 docker 运行容器时,默认的情况下,docker没有对容器进行硬件资源的限制,当一台主机上运行几百个容器,这些容器虽然互相隔离,但是底层却使用着相同的 CPU
docker安装/简介
qq_45255414的博客
09-19 280
docker简介 docker理念 Docker是基于Go语言实现的云开源项目。 Docker的主要目标是“Build,Ship and Run Any App,Anywhere”,也就是通过对应用组件的封装、分发、部署、运行等生命周期的管理,使用户的APP(可以是一个WEB应用或数据库应用等等)及其运行环境能够做到“一次封装,到处运行”。 Docker 容器在任何操作系统上都是一致的,实现了跨平台、跨服务器。只需要一次配置好环境,换到别的机子上就可以一键部署好,大大简化了操作。 一句话:解决了
Docker容器安全
windowsworld的博客
08-07 370
Docker安全演示 1.docker与系统共享内核并且会在宿主机上产生相应的进程 容器内 宿主机内 2.cgroup cgroup目录下有对容器进行相应限制的参数,如cpu,memory等,新建的容器的id会出现在象形限额的docker的目录下,并且如果在相应memory目录下建立目录,那么目录会继承相应memory目录的属性。 3.cgroup之cpu限额 运行docker容器指定相...
容器相关安全加固建议
m0_73803866的博客
10-12 617
除了对 Docker 守护进程进行审计,还需要对 Docker 相关的文件和目录进行审计,例如 /var/lib/docker(包 含有关容器的所有信息)、/etc/docker(包含 Docker 守护进程和 Docker 客户端之间 TLS通信的所有密钥和证 书)、docker.service(Docker 守护进程运行参数配置文件)、docker.但建议所有的镜像文件应该由 Dockerfile 来创建,因为基于 Dockerfile 构建的镜像是完全透明的,所有的操作指令都是可控和可追溯的。
docker容器安全
fy_long的博客
03-12 5886
Docker的安全机制 ​ Docker目前已经在安全方面做了一定的工作,包括Docker daemon在以TCP形式提供服务的同时使用传输层安全协议;在构建和使用镜像时会验证镜像的签名证书;通过cgroups及namespaces来对容器进行资源限制和隔离;提供自定义容器能力(capability)的接口;通过定义seccomp profile限制容器内进程系统调用的范围等。如果合理地实...
Docker 6 ( 容器安全、容器资源控制、Docker安全加固)
qq_38664479的博客
08-10 485
目录一、pandas是什么?二、使用步骤1.引入库 一、pandas是什么? 二、使用步骤 1.引入库
运维实战 容器部分 Docker安全
黑羽冰音的博客
05-06 214
Docker容器安全的简单理解与限制方法.
Docker容器安全实践:加固宿主机与配置指南
"这份文档主要讨论了如何加固Docker容器的宿主机,以提升容器的安全性,遵循了包括CIS Docker安全标准在内的最佳实践,并提供了详细的步骤和建议。文档中涵盖了多个方面,包括主机安全配置、Docker守护进程的配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值