一.理解Linx Cgroups
1.Linux Cgroups 的全称是 Linux Control Group,是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等。
2.对进程进行优先级设置、审计,以及将进程挂起和恢复等操作。
3.Linux Cgroups 给用户暴露出来的操作接口是文件系统,它以文件和目录的方式组织在操作系统的 /sys/fs/cgroup 路径下。
4.子系统:在 /sys/fs/cgroup 下面有很多诸如 cpuset、cpu、 memory 这样的子目录,也叫子系统。
5.在每个子系统下面,为每个容器创建一个控制组(创建一个新目录),控制组下面的资源文件里填上什么值,就靠用户执行 docker run 时的参数指定。
二.CPU限额
docker run -it --cpu-period=100000 --cpu-quota=20000 ubuntu /bin/bash
cpu_period 和 cpu_quota 这两个参数需要组合使用,用来限制进程在
长度为 cpu_period 的一段时间内,只能被分配到总量为 cpu_quota 的
CPU 时间,以上设置表示20%的cpu时间
三.内存限制
docker run -it --memory 200M --memory-swap=200M ubuntu
容器可用内存包括物理内存和swap交换分区两个部分
–memory设置内存使用限额
–memory-swap设置swap交换分区限额
四.安全加固
1.利用LXCFS增强docker容器隔离性和资源可见性
yum install -y lxcfs-2.0.5-3.el7.centos.x86_64.rpm
docker run -it -m 256m \
-v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
-v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
-v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
-v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
-v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
-v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
ubuntu
2.设置特权级运行的容器 --privileged=true
有的时候我们需要容器具备更多的权限,比如操作内核模块,控
制swap交换分区,挂载USB磁盘,修改MAC地址等
docker run -it --name vm1 ubuntu bash
权限不够,无法对网卡进行设置
docker run -it --privileged=true --name vm1 ubuntu bash
3.设置白名单
–privileged=true 的权限非常大,接近于宿主机的权限,为了防止
用户的滥用,需要增加限制,只提供给容器必须的权限。此时
Docker 提供了权限白名单的机制,使用–cap-add添加必要的权限
docker run -it --cap-add=NET_ADMIN --name vm1 ubuntu bash
比如这里可以设置添加设置网卡的权限。
五.安全加固
保证容器的安全
- 对docker宿主机进行安全加固
- 限制容器之间的网络流量
- 启用用户命名空间支持
- 配置Docker守护程序的TLS身份验证
- 限制容器的内存使用量
- 适当设置容器CPU优先级
Docker安全遗留问题
1.主要的内核子系统都没有命名空间,如:
- SELinux
- cgroup
- 在/sys下的文件系统
- /proc/sys, /proc/sysrq-trigger, /proc/irq, /proc/bus
2设备没有命名空间
- /dev/mem
- /dev/sd*文件系统设备
- 内核模块
如果你能沟通或攻击的其中之一作为特权的过程中,你可以拥有自
己的系统