文章目录
一、Docker 存在的安全问题
1.1:Docker 自身漏洞
作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录 Docker 历史版本共有超过20项漏洞。
黑客常用的攻击手段主要有代码执行、权限提升、信息泄露、权限绕过等。目前 Docker版本更迭非常快,Docker 用户最好将 Docker 升级为最新版本。
1.2:Docker 源码问题
Docker 提供了 Docker hub,可以让用户上传创建的镜像,以便其他用户下载,快速搭建环境。但同时也带来了一些安全问题。例如下面三种方式
黑客上传恶意镜像
如果有黑客在制作的镜像中植入木马、后门等恶意软件,那么环境从一开始就已经不安全了,后续更没有什么安全可言。
镜像使用在有漏洞的软件
Docker hub 上能下载的镜像里面,75%的镜像都安装了有漏洞的软件。所以下载镜像后,需要检查里面软件的版本信息,对应的版本是否存在漏洞,并及时更新打上补丁。
中间人攻击篡改镜像
镜像在传输过程中可能被篡改,目前现版本的 Docker 已经提供了相应的校验机制类预防这个问题。
1.3:Docker 架构缺陷与安全机制
Docker 本身的架构与机制就可能产生问题,例如这样一种攻击场景,黑客已经控制了宿主机上的一些容器,或者获得了通过在公有云上建立容器的方式,然后对宿主机或其他容器发动攻击。
容器之间的局域网攻击
主机上的容器之间可以构成局域网,因此对局域网的 ARP 欺骗、嗅探、广播风暴等攻击方式便可以用上。
所以,在一个主机上部署多个容器需要合理的配置网络,设置 iptable 规则。
DDoS 攻击耗尽资源
Cgroups 安全机制就是要防止此类攻击的,不要为单一的容器分配过多的资源,即可避免此类问题
有漏洞的系统调用
Docker 与虚拟机的一个重要的区别就是 Docker 与宿主机共用一个操作系统内核。
一旦宿主内核存在可以越权或者提权漏洞,尽管 Docker 使用普通用户执行,在容器被入侵时,攻击者还可以利用内核漏洞跳到宿主机做更多的事情。
共享 root 用户权限
如果以 root 用户权限运行容器,容器内的 root 用户也就拥有了宿主机 root 权限
二:Dcoker-TLS加密实战
2.1:TLS概述
TLS (Transport Layer Security)指传输层安全,是解决网络安全的重量级武器。传输层安全最早由网景公司所开发,那时的名字还不叫TLS,而是SSL(Secure Sockets Layer),即安全套接字层。
TLS 加密通讯:
为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中间人攻击,C/S 两端应该通过加密方式通讯。
2.2:CA证书
证书颁发机构(CA, Certificate Authority)即颁发数字证书的机构。是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
CA 证书颁发的时候,证书中是包含密钥对的,同时用户信息也是进行加密的,所以CA颁发的证书具有两个特点:用户发送的信息都是加密的;身份的唯一性。
2.3:为什么要使用TLS加密
为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中 间人攻击,c/s 两端应该通过加密方式通讯。
1:对称DES 3DES AES长度不同长度越长安全越高,解密速度越慢
2:非对称RSA公钥,私钥、公钥:所有人可知(锁)私钥(钥匙)个人身份信息,不可抵赖。
3:证书:个人信息,密钥,有效期
4: ca:证书颁发机构ca证书
5.具体的TLS流程
密钥key---》身份签名csr---》(服务器/客户端)(结合ca.pem)制作证书pem
证书pem发送给客户端,客户端验证就使用证书验证
三:配置TLS安全加密
3.1:实验环境准备
1、实验环境准备
两台服务器
一台作为master节点(192.168.150.10)
一台作为client客户端(192.168.158.20)
前提是两台虚拟机都要装好docker的环境。
修改hosts文件,master服务器操作添加本地解析
vi /etc/hosts
127.0.0.1 master
测试
[root@server1 ~]# ping master
PING master (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.033 ms
client 添加本地解析
[root@client ~]# vi /etc/hosts
192.168.158.10 master
测试
[root@client1 ~]# ping master
PING master (192.168.158.10) 56(84) bytes of data.
64 bytes from master (192.168.158.10): icmp_seq=1 ttl=64 time=0.303 ms
3.2:证书创建
官方文档
https://docs.docker.com/engine/security/https/
保护Docker守护进程套接字
默认情况下,Docker通过非网络UNIX套接字运行。它还可以选择使用HTTP套接字进行通信。
如果需要以安全的方式通过网络访问Docker,则可以通过指定该tlsverify标志并将Docker的tlscacert标志指向 受信任的CA证书来启用TLS 。
在守护程序模式下,它仅允许来自由该CA签名的证书验证的客户端的连接。在客户端模式下,它仅连接到具有该CA签名的证书的服务器。
- 服务创建密钥
[root@master tls]# openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.....................................++
..............</