目录
理解Docker安全
·Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面:
·Linux内核的命名空间机制提供的容器隔离安全 ·Linux控制组机制对容器资源的控制能力安全。
·Linux内核的能力机制所带来的操作权限安全
·Docker程序(特别是服务端)本身的抗攻击性。
·其他安全增强机制对容器安全性的影响。
·命名空间隔离的安全
·当dockerrun启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。
·与虚拟机方式相比,通过Linux namespace来实现的隔离不是那么彻底。
·容器只是运行在宿主机上的一种特殊的进程,那么多个容器之间使用的就还是同一个宿主机的操作系统内核。
·在Linux内核中,有很多资源和对象是不能被Namespace化的,比如:时间。
首先我们运行一个容器
docker run -d --name nginx nginx然后我们过滤他的PID
docker inspect nginx| grep Pid接着进入4501目录查看ns下的独立的命名空间
上述隔离是远远不够的因为他只是PID和user等的隔离,但是我们如果在宿主机上修改时间或者在容器上修改时间那么其他时间都会被修改。
·控制组资源控制的安全
·当dockerfun启动一个容器时,Docker将在后台为容器创建一个独立的控制组策略集合。
·Linux Cgroups提供了很多有用的特性,确保各容器可以公平地分享主机的内存、CPU、磁盘IO等资源。
·确保当发生在容器内的资源压力不会影响到本地主机系统和其他容器,它在防止拒绝服务攻击(DDoS)方面必不可少。
·内核能力机制
·能力机制(Capability)是Linux内核一个强大的特性,可以提供细粒度的权限访问控制。
·大部分情况下,容器并不需要“真正的”root权限,容器只需要少数的能力即可。
·默认情况下,Docker采用“白名单”机制,禁用“必需功能”之外的其他权限。
·Docker服务端防护
·使用Docker容器的核心是Docker服务端,确保只有可信的用户才能访问到Docker服务。
·将容器的root用户映射到本地主机上的非root用户,减轻容器和主机之间因权限提升而引起的安全问题。
·允许Docker服务端在非root权限下运行,利用安全可靠的子进程来代理执行需要特权权限的操作。这些子进程只允许在特定范围内进行操作。
·其他安全特性
·在内核中启用GRSEC和PAX,这将增加更多的编译和运行时的安全检查;并且通过地址随机化机制来避免恶意探测等。启用该特性不需要Docker进行任何配置。
·使用一些有增强安全特性的容器模板。
·用户可以自定义更加严格的访问控制机制来定制安全策略。
·在文件系统挂载到容器内部时,可以通过配置只读模式来避免容器内的应用通过文件系统破坏外部环境,特别是一些系统运行状态相关的目录。
容器资源控制
·Linux Cgroups的全称是Linux Control Group。
·是限制一个进程组能够使用的资源上限,包括CPU、内存、磁盘、网络带宽等等。
·对进程进行优先级设置、审计,以及将进程挂起和恢复等操作。
·Linux Cgroups 给用户暴露出来的操作接口是文件系统。
·它以文件和目录的方式组织在操作系统的/sys/fs/cgroup路径下。
·执行此命令查看:mount-t cgroup
查看cgroup的挂载位置
·CPU限额
·docker run -it --cpu-period=100000 --cpu-quota=20000
ubuntu
·cpu_period和cpu_quota 这两个参数需要组合使用,用来限制进程在长度为cpu_period的一段时间内,只能被分配到总量为
cpu_quotal的CPU时间,以上设置表示20%的cpu时间。
·内存限制
·容器可用内存包括两个部分:物理内存和swap交换分区。
·docker run -it --memory 200M--memory -swap=200M ubuntu
·--memory设置内存使用限额
·--memory-swap设置swap交换分区限额
·Block IO限制
·docker run -it --device-write-bps /dev/sda:30MB ubuntu
·-device-write-bps限制写设备的bps
·目前的block IO限制只对direct IO有效。(不使用文件缓存)
dd if=/dev/zero of=file bs=lM count=100 oflag=direct
100+0 records in
100+0 records out
104857600 bytes(105 MB)copied,3.31933s,31.6 MB/s
Docker安全加固
·利用LXCFS增强docker容器隔离性和资源可见性
·设置特权级运行的容器:--privileged=true
·有的时候我们需要容器具备更多的权限,比如操作内核模块,控制swap
交换分区,挂载USB磁盘,修改MAC地址等。
·#docker run -it --name vml ubuntu bash
这样我们就可以操作我们的硬盘了
不然不是超户我们就不能控制硬盘
设置容器白名单:--cap-add
·--privileged=true的权限非常大,接近于宿主机的权限,为了防止用户的滥用,需要增加限制,只提供给容器必须的权限。此时Docker提供了权限白名单的机制,使用-cap-add添加必要的权限。
·capabilities手册地址:
·安全加固的思路
·保证镜像的安全
·使用安全的基础镜像
·删除镜像中的setuid和setgid权限
·启用Docker的内容信任
·最小安装原则
·对镜像进行安全漏洞扫描,镜像安全扫描器:Clair
·容器使用非root用户运行
·保证容器的安全
·对docker宿主机进行安全加固
·限制容器之间的网络流量
·配置Docker守护程序的TLS身份验证
·启用用户命名空间支持(userns-remap)
·限制容器的内存使用量
·适当设置容器CPU优先级
·docker安全的遗留问题
·主要的内核子系统都没有命名空间,如:
·SELinux
·cgroup
·在/sys下的文件系统
·/proc/sys,/proc/sysrq-trigger./proc/irq./proc/bus
·设备没有命名空间:
·/dev/mem
·/dev/sd*文件系统设备
·内核模块
·如果你能沟通或攻击的其中之一作为特权的过程中,你可以拥有自己的系统。
总结
·本章节讲解了docker的安全现状,虽然还是有很多没有完善的地方,但不能否认docker依然是当前最安全的容器技术。
·Docker安全的顶尖开源工具:
·Docker Bench for Security 对照安全基准审计Docker容器的脚本
·ClairAPl驱动的静态容器安全分析工具,拥有庞大的CVE数据库
·Cilium内核层可感知APl的网络和安全工具
·Anchore 使用CVE数据和用户定义的策略检查容器安全的工具
·OpenSCAP Workbench用于为各种平台创建和维护安全策略的环境
·Dagda用于在Docker容器中扫描漏洞、特洛伊木马、病毒和恶意软件的工具
·Notary使用服务器加强容器安全的框架,用于以加密方式委派责任
·Sysdig Falco提供了行为活动监控,可深入了解容器
840
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
