【转】Docker 生产环境之安全性 - 适用于 Docker 的 Seccomp 安全配置文件

最新推荐文章于 2024-07-01 15:51:03 发布
最新推荐文章于 2024-07-01 15:51:03 发布
阅读量2k 收藏 1
点赞数
分类专栏: Docker

安全计算模式(secure computing mode,seccomp)是 Linux 内核功能。可以使用它来限制容器内可用的操作。seccomp() 系统调用在调用进程的 seccomp 状态下运行。可以使用此功能来限制你的应用程序的访问权限。

只有在使用 seccomp 构建 Docker 并且内核配置了 CONFIG_SECCOMP 的情况下,此功能才可用。要检查你的内核是否支持 seccomp

$ cat /boot/config-`uname -r` | grep CONFIG_SECCOMP=
CONFIG_SECCOMP=y
  • 1
  • 2

注意:seccomp 配置文件需要 seccomp 2.2.1,这在 Ubuntu 14.04,Debian Wheezy 或 Debian Jessie 中不可用。要在这些发行版上使用 seccomp,必须下载 最新的静态 Linux 二进制文件(而不是软件包)。

1. 为容器传递配置文件

默认的 seccomp 配置文件为使用 seccomp 运行容器提供了一个合理的设置,并禁用了大约 44 个超过 300+ 的系统调用。它具有适度的保护性,同时提供广泛的应用兼容性。默认的 Docker 配置文件可以在 这里 找到。

实际上,该配置文件是白名单,默认情况下阻止访问所有的系统调用,然后将特定的系统调用列入白名单。该配置文件工作时需要定义 SCMP_ACT_ERRNO 的 defaultAction 并仅针对特定的系统调用覆盖该 actionSCMP_ACT_ERRNO 的影响是触发 Permission Denied 错误。接下来,配置文件中通过将 action 被覆盖为 SCMP_ACT_ALLOW,定义一个完全允许的系统调用的特定列表。最后,一些特定规则适用于个别的系统调用,如 personalitysocketsocketcall 等,以允许具有特定参数的那些系统调用的变体(to allow variants of those system calls with specific arguments)。

seccomp 有助于以最小权限运行 Docker 容器。不建议更改默认的 seccomp 配置文件。

运行容器时,如果没有通过 --security-opt 选项覆盖容器,则会使用默认配置。例如,以下显式指定了一个策略:

$ docker run --rm \
             -it \
             --security-opt seccomp=/path/to/seccomp/profile.json \
             hello-world
  • 1
  • 2
  • 3
  • 4

1.1 默认配置文件阻止的重要的系统调用

Docker 的默认 seccomp 配置文件是一个白名单,它指定了允许的调用。下表列出了由于不在白名单而被有效阻止的重要(但不是全部)系统调用。该表包含每个系统调用被阻止的原因。

SyscallDescription
acctAccounting syscall which could let containers disable their own resource limits or process accounting. Also gated by CAP_SYS_PACCT.
add_keyPrevent containers from using the kernel keyring, which is not namespaced.
adjtimexSimilar to clock_settime and settimeofday, time/date is not namespaced. Also gated by CAP_SYS_TIME.
bpfDeny loading potentially persistent bpf programs into kernel, already gated by CAP_SYS_ADMIN.
clock_adjtimeTime/date is not namespaced. Also gated by CAP_SYS_TIME.
clock_settimeTime/date is not namespaced. Also gated by CAP_SYS_TIME.
cloneDeny cloning new namespaces. Also gated by CAP_SYS_ADMIN for CLONE_* flags, except CLONE_USERNS.
create_moduleDeny manipulation and functions on kernel modules. Obsolete. Also gated by CAP_SYS_MODULE.
delete_moduleDeny manipulation and functions on kernel modules. Also gated by CAP_SYS_MODULE.
finit_moduleDeny manipulation and functions on kernel modules. Also gated by CAP_SYS_MODULE.
get_kernel_symsDeny retrieval of exported kernel and module symbols. Obsolete.
get_mempolicySyscall that modifies kernel memory and NUMA settings. Already gated by CAP_SYS_NICE.
init_moduleDeny manipulation and functions on kernel modules. Also gated by CAP_SYS_MODULE.
iopermPrevent containers from modifying kernel I/O privilege levels. Already gated by CAP_SYS_RAWIO.
ioplPrevent containers from modifying kernel I/O privilege levels. Already gated by CAP_SYS_RAWIO.
kcmpRestrict process inspection capabilities, already blocked by dropping CAP_PTRACE.
kexec_file_loadSister syscall of kexec_load that does the same thing, slightly different arguments. Also gated by CAP_SYS_BOOT.
kexec_loadDeny loading a new kernel for later execution. Also gated by CAP_SYS_BOOT.
keyctlPrevent containers from using the kernel keyring, which is not namespaced.
lookup_dcookieTracing/profiling syscall, which could leak a lot of information on the host. Also gated by CAP_SYS_ADMIN.
mbindSyscall that modifies kernel memory and NUMA settings. Already gated by CAP_SYS_NICE.
mountDeny mounting, already gated by CAP_SYS_ADMIN.
move_pagesSyscall that modifies kernel memory and NUMA settings.
name_to_handle_atSister syscall to open_by_handle_at. Already gated by CAP_SYS_NICE.
nfsservctlDeny interaction with the kernel nfs daemon. Obsolete since Linux 3.1.
open_by_handle_atCause of an old container breakout. Also gated by CAP_DAC_READ_SEARCH.
perf_event_openTracing/profiling syscall, which could leak a lot of information on the host.
personalityPrevent container from enabling BSD emulation. Not inherently dangerous, but poorly tested, potential for a lot of kernel vulns.
pivot_rootDeny pivot_root, should be privileged operation.
process_vm_readvRestrict process inspection capabilities, already blocked by dropping CAP_PTRACE.
process_vm_writevRestrict process inspection capabilities, already blocked by dropping CAP_PTRACE.
ptraceTracing/profiling syscall, which could leak a lot of information on the host. Already blocked by dropping CAP_PTRACE.
query_moduleDeny manipulation and functions on kernel modules. Obsolete.
quotactlQuota syscall which could let containers disable their own resource limits or process accounting. Also gated by CAP_SYS_ADMIN.
rebootDon’t let containers reboot the host. Also gated by CAP_SYS_BOOT.
request_keyPrevent containers from using the kernel keyring, which is not namespaced.
set_mempolicySyscall that modifies kernel memory and NUMA settings. Already gated by CAP_SYS_NICE.
setnsDeny associating a thread with a namespace. Also gated by CAP_SYS_ADMIN.
settimeofdayTime/date is not namespaced. Also gated by CAP_SYS_TIME.
socket, socketcallUsed to send or receive packets and for other socket operations. All socket and socketcall calls are blocked except communication domains AF_UNIX, AF_INET, AF_INET6, AF_NETLINK, and AF_PACKET.
stimeTime/date is not namespaced. Also gated by CAP_SYS_TIME.
swaponDeny start/stop swapping to file/device. Also gated by CAP_SYS_ADMIN.
swapoffDeny start/stop swapping to file/device. Also gated by CAP_SYS_ADMIN.
sysfsObsolete syscall.
_sysctlObsolete, replaced by /proc/sys.
umountShould be a privileged operation. Also gated by CAP_SYS_ADMIN.
umount2Should be a privileged operation. Also gated by CAP_SYS_ADMIN.
unshareDeny cloning new namespaces for processes. Also gated by CAP_SYS_ADMIN, with the exception of unshare –user.
uselibOlder syscall related to shared libraries, unused for a long time.
userfaultfdUserspace page fault handling, largely needed for process migration.
ustatObsolete syscall.
vm86In kernel x86 real mode virtual machine. Also gated by CAP_SYS_ADMIN.
vm86oldIn kernel x86 real mode virtual machine. Also gated by CAP_SYS_ADMIN.

2. 不使用默认的 seccomp 配置文件

可以传递 unconfined 以运行没有默认 seccomp 配置文件的容器。

$ docker run --rm -it --security-opt seccomp=unconfined debian:jessie \
    unshare --map-root-user --user sh -c whoami
snipercai
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker-slim:DockerSlim(docker-slim):请勿更改Docker容器映像中的任何内容并将其最小化30倍(对于编译语言,甚至更多),以确保其安全性! (免费和开源)
02-02
不必担心手动创建Seccomp和AppArmor安全配置文件。 您不必成为Linux syscall,Seccomp和AppArmor的专家即可拥有安全的容器。 即使您对浪费时间进行反向工程了解得足够多,您的应用程序行为也可能很耗时。 docker-...
docker run:–security-opt seccomp=unconfined选项解析 (安全计算模式Secure Computing Mode,实现系统调用过滤,禁用或允许某些系统调用)
Dontla的博客
09-18 4502
Seccomp,即安全计算模式,是 Linux 内核的一部分,用于限制进程可以使用的系统调用2。通过禁止或限制对某些系统调用的访问,Seccomp 可以有效减少攻击者能够利用的攻击面。Docker 在默认情况下启用了 Seccomp,并提供了一个默认的配置文件,该文件白名单了大约300个系统调用,其他的则被禁止。这意味着在 Docker 容器中运行的进程只能访问这些已经过滤的系统调用。总的来说,Docker 的选项是一个强大的工具,可以提供更大的灵活性。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 563
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
DockerDocker安全与最佳实践:保护你的容器化应用程序
最新发布
2401_84578953的博客
07-01 1415
Docker是一个。
docker strace ptrace 报错 Operation not permitted 解决方法
ss810540895的博客
04-25 1812
原因就是因为ptrace被Docker默认禁止的问题。下表列出了由于不在白名单而被有效阻止的重要(但不是全部)系统调用。该表包含每个系统调用被阻止的原因。当然从安全角度考虑,如只是想使用gdb进行debug的话,建议使用第三种。)是 Linux 内核功能,可以使用它来限制容器内可用的操作。安全计算模式(secure computing mode,配置文件是一个白名单,它指定了允许的调用。3、仅开放ptrace限制。1、关闭seccomp。Docker 的默认。2、采用超级权限模式。
Kubernetes(二十)Security Context(二)
wzj_110的博客
11-24 957
一 官网参考文档 Docker侧的文档 Kubernetes侧的文档 二 Seccomp 对于'业务安全等级要求较高'的应用场景,我们需要限制'应用容器的内核能力',可以配合'Seccomp'/AppArmor/SELinux等'策略工具'达到限制'容器运行时刻capabilities'的目的 (1)基本概念 wiki seccomp 其实是 secure computing mode 的缩写,是 Linux 内核中的一个安全计算工具。seccomp 允许进程单向换为'安全状...
docker 服务器挂掉Error: OCI runtime error: container_linux.go:345: starting container process caused “err
qq_41616955的博客
03-24 677
运行容器出现 Error: OCI runtime error: container_linux.go:345: starting container process caused "error adding seccomp filter rule for syscall bdflush: requested action matches default action of filter"解决办法在后面价格 --security-opt seccomp=unconfined
docker-caps:一个基于Falco的项目,可帮助我增加对Docker和Linux功能的安全性的了解
05-11
Docker安全性和Capabilites】 Docker 是一种流行的开源容器技术,它允许开发者将应用程序及其依赖环境打包成轻量级、可移植的容器,从而实现跨平台部署。在 Docker 中,安全性的概念至关重要,因为它涉及到如何...
Docker守护进程安全配置项目详解
09-29
12. 使用Seccomp进行安全配置文件限制(seccomp-pro***) 13. 启用TLS验证(tlsverify: true) 14. 配置TLS证书和密钥(tlscacert, tlscert, tlskey) 三、通过HTTPS和证书认证访问守护进程 为了确保通过网络访问...
docker-17.12.0-ce.tgz
10-21
解压 "docker-17.12.0-ce.tgz" 文件后,你将得到 Docker 的安装程序和相关配置文件,按照官方文档的指示进行安装和配置,就可以在你的系统上运行 Docker 17.12.0 CE 版本,享受到上述的特性和改进。
DockerSlim(docker-slim):请勿更改Docker容器映像中的任何内容并将其最小化30倍(对于编译后的语言甚至更多),以确保其安全! (免费和开源)-Golang开发
05-26
最小化和保护Docker容器(免费和开放源代码!)请勿更改Docker容器映像中的任何内容并将其最小化30倍,以确保其安全性! 继续做自己在做的事情。...不用担心手动创建Seccomp和AppArmor安全配置文件
查看docker中运行的JVM参数
u011649691的博客
12-10 3359
方法一、jcmd命令: 1、jps获取java的线程id 2、jcmd pidVM.flags获取 51152: -XX:CICompilerCount=3 -XX:InitialHeapSize=526385152 -XX:MaxHeapSize=1073741824 -XX:MaxNewSize=357564416 -XX:MinHeapDeltaBytes=524288 -XX:NewSize=175112192 -XX:OldSize=351272960 -XX:+UseCompresse.
Kubernetes 容器安全 Seccomp 限制容器进程系统调用
小楼一夜听春雨,深巷明朝卖杏花
07-05 4025
Seccomp(Secure computing mode) 是一个 Linux 内核安全模块,可用于应用进程允许使用的系统调用。 容器实际上是宿主机上运行的一个进程,共享宿主机内核,如果所有容器都具有任何系统调用的能力,那么容器如果被入侵,就很轻松绕过容器隔离更改宿主机系统权限或者进入宿主机。 这就可以使用Seccomp机制限制容器系统调用,有效减少攻击面。 Linux发行版内置:CentOS、Ubuntu 在Kubernetes中使用Seccomp:Seccomp在K8
武装服务器(二):云服务器配置Code-Server环境并运行Python和C++
面条有点辣
12-05 3246
Linux/云服务器配置Code-Server运行Python和C++。
docker非正常退出后,重启时报错error adding seccomp filter rule for syscall clone3
euler1983的专栏
05-15 2787
问题 电脑合盖后,没有待机,电源耗尽关机。里边运行的docker没有正常退出,再开机时,容器启动不起来了,报错如下: docker: Error response from daemon: OCI runtime create failed: container_linux.go:349: starting container process caused "error adding seccomp filter rule for syscall clone3: permission denied":
Linux系统编程 —— seccomp沙箱安全机制
柯西丶不是你的博客
05-12 4696
一、简介 安全计算模式 seccomp(Secure Computing Mode)是自 Linux 2.6.10 之后引入到 kernel 的特性。一切都在内核中完成,不需要额外的上下文切换,所以不会造成性能问题。目前 在 Docker 和 Chrome 中广泛使用。使用 seccomp,可以定义系统调用白名单和黑名单,可以 定义出现非法系统调用时候的动作,比如结束进程或者使进程调用失败。 seccomp机制用于限制应用程序可以使用的系统调用,增加系统的安全性。 在/proc/${pid}/st.
docker 安全
weixin_34041003的博客
02-15 230
由于容器运行在主机上,且与主机共用一套内核,因此在容器的安全使用上会涉及到容器本身以及主机的安全加固,如针对系统调用,系统资源,远程访问等都需要进行安全方面的考量。 docker官网给出了简单的一些建议,如使用命名空间进行用户隔离,使用cgroup限制容器使用的资源上限,使用apparmor限制容器对资源的访问以及使用seccomp限制容器的系统调用等。但官方文档描述的场景比较简单,更多场景可以...
DokcerCompose踩坑之自定义端口映射
09-22 1717
DokcerCompose踩坑之自定义端口映射
kubernetes---Seccomp限制容器进程系统调用
m0_57911290的博客
01-16 9662
Seccomp 代表安全计算(Secure Computing)模式,自 2.6.12 版本以来,一直是 Linux 内核的一个特性。它可以用来沙箱化进程的权限,限制进程从用户态到内核态的调用。Kubernetes 能使你自动将加载到节点上的 seccomp 配置文件应用到你的 Pod 和容器。识别你的工作负载所需要的权限是很困难的。
利用DockerHub快速搭建安全环境:实战案例与配置指南
本文档主要介绍了如何利用DockerHub快速搭建一个安全环境,涵盖了多个关键的IT技术栈组件。首先,Docker是一个开源的应用容器引擎,它允许开发者打包应用及其依赖环境到一个可移植的容器中,从而简化软件的部署和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值