通过 LSM 赋予容器运行时安全保障

最新推荐文章于 2022-04-07 19:58:00 发布
最新推荐文章于 2022-04-07 19:58:00 发布
阅读量258 收藏
点赞数 1
分类专栏: Docker 核心知识必知必会 文章标签: Docker Kubernetes Docker 容器 镜像 Docker 生态 Docker Kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tao12345666333/article/details/108728508
版权
本文介绍了Linux Security Modules (LSM)的基础知识,包括其出现背景和作用。重点讲解了如何为Docker开启SELinux支持以提高容器的安全性,并通过实例展示了SELinux如何保护容器免受恶意程序威胁。文章还探讨了启用SELinux后挂载目录可能出现的问题及解决方案。
摘要由CSDN通过智能技术生成

本篇是第六部分“安全篇”的第三篇,在这个部分,我将用四篇内容为你介绍包括镜像,容器和 Linux 内核的 LSM 等内容。前面两篇,我为你介绍了镜像及容器安全相关的内容。本篇,我们将重点放在 Linux 内核为容器提供的安全保障上。

上一篇,我为你介绍了如何通过 Linux capabilities 来为容器提供安全的能力。本篇,我们继续将焦点放在容器安全上。

注意:本文所用的 Linux 内核为 5.4.10-100.fc30.x86_64,不同版本内核略有差异。

LSM 基础

LSM 即 Linux Security Modules,翻译为 Linux 安全模块。可能很多人都没有接触过它,我先来介绍下 LSM 出现的背景及它具体是什么。

LSM 出现的背景

上一篇我已经为你介绍过 Linux 的权限模型,最初它只支持检查是否为特权用户,之后的演进中逐步增加了 capabilities 相关的功能。

但仅仅是这样还不足以称其为一个“安全”操作系统。各种组织和机构在使用 Linux 时,对它提出了多种安全方面相关的需求。

此时也有不少人实现了一些安全方面的功能。大多数实现都是通过给内核打 patch 实现的,并没有合并进 Linux 内核的主线中。

这对于普通用户而言是无法接受的,大多数用户是没有编译和定制

了解本专栏 订阅专栏 解锁全文
张晋涛-MoeLove
关注
专栏目录
订阅专栏
使用LSM实现自己的访问控制
07-23 1898
首先对LSM 进行简单介绍。虽然linux下的各位基本都知道一些,但是还要罗嗦一下。 LSM文全称是linux安全模块。英文全称:linux security module. LSM是一种轻量级、通用的访问控制框架,适合多种访问控制模型以内核模块的形式实现。其特点是通用、简单、高效、支持POSIX。1e能力机制。 LSM的架构图如下: 通过系统调用进入内核之后,系统首先进行传统的权限
十STL容器
07-17 154
STL容器 顺序容器 顺序容器将单一类型的元素聚集起来,然后根据位置来存储和访问这些元素。顺序容器的元素排列次序与元素值无关,而是由元素添加到容器里的次序决定。 STL最常用的顺序容器是vector、list、deque。在这里,我不打算介绍如何使用这些容器类的基本函数,这将作为课后作业。我把篇幅放...
Linux内核LSM介绍及smack配置启用
chuju7911的博客
08-24 1150
(http://www.zhihu.com/question/21637060/answer/58362892?group_id=614562143606079488#comment-89324790) 用户在执行系统调用时,先通过原有的内核接口依次执行功能性的错误检查,接着进行传统的DAC...
使用K8S作为Unikernels运行Linux应用程序
编程故事的地方
03-26 385
如果您阅读过我以前的一些文章,您可能会认为我永远不会写这篇文章,对吧? :)好了。 我们得到的一个常见问题是“您可以在K8S使用unikernel吗?” 答案是肯定的,但是有一些警告。 即,将unikernels打包为虚拟机,并且在许多情况下,在虚拟机之上的公共云提供了k8。 另外,您还应该意识到,在k8s下配置unikernel会带来安全风险,而这些风险本来就不需要处理。 由于来宾是un...
Linux 安装k8s 教程
HuangXiaoChuan
09-03 4846
转自 搭建k8shttps://www.cnblogs.com/spll/p/10033316.html 使用 k8s 搭建tomcathttps://www.cnblogs.com/spll/p/10075781.html 另外要修改静态IP,同步时间, 主机名 修改静态IPhttps://jingyan.baidu.com/article/9989...
南大学操作系统安全知识点总结
diaomiezuo8055的博客
06-09 1097
第一章 概述 1. 什么是信息的完整性 信息完整性是指信息在输入和传输的过程,不被非法授权修改和破坏,保证数据的一致性。 2. 隐蔽通道的工作方式? 隐藏通道可定义为系统不受安全策略控制的、范围安全策略的信息泄露路径。 按信息传递的方式与方式区分,隐藏通道分为隐蔽存储通道和隐蔽定时通道。1隐蔽存储通过在系统通过两个进程利用不受安全策略控制的存储单位传递信息。前一个进程...
Linux基于eBPF的恶意利用与检测机制
美团技术团队
04-07 5753
总第499篇2022年 第016篇近几年云原生领域飞速发展,eBPF技术成为各厂商首选技术,在网络编排、行为观测等领域四处开花。然而收益与风险并存,不久前爆出的Bvp47后门正是利用BPF技术惊人地在世界各地潜伏了近二十年。今日BPF已演进为eBPF,黑客会如何利用,造成什么危害?我们又该如何防范?前言现状分析海外资料国内资料eBPF技术恶意利用的攻击原理Linux网络层...
LSM_module:使用 LSM 和 IMA 的 Linux 安全模块
07-17
Linux 安全模块(LSMLinux Security Modules)是Linux内核的一种安全框架,它允许开发者添加不同的安全策略,以增强操作系统安全性。LSM的设计目标是提供一种灵活的方法来实现各种安全模型,而无需修改核心...
基于KRSI(eBPF+LSM)的Linux安全审计、控制和行为分析工具
最新发布
08-14
针对操作系统、内核安全,safeguard是一个基于eBPF的Linux审计观测工具,可以实现安全操作的拦截及审计记录。项目采用libbpfgo库,使用go语言实现顶层控制
LSM6DS3_Driver.zip_LSM6DS3_lsm6ds3驱动程序_spentqhx
07-15
这个驱动程序,"LSM6DS3_Driver.zip_LSM6DS3_lsm6ds3驱动程序_spentqhx",是为该传感器设计的,用于在嵌入式系统实现对LSM6DS3的控制和数据读取。下面将详细介绍这款传感器和其驱动程序的关键知识点。 **1. LSM6...
Docker 版本及内核兼容性选择
k8s 生态
09-22 3465
这是本课程的第一部分:Docker 入门,共 3 节,帮助大家进入 Docker 的世界。上一节,我带大家了解了 Docker 入门的基础知识,知道了如何运行和操作容器。下面我们一起进入第三节的内容。 Docker 的版本历程 快速迭代期 在第一节,我们已经知道 Docker 是在 2013 年首次亮相,在 2014 年 6 月 9 日发布了 1.0.0 版本;直到 2017 年,Dock...
docker-proxy 的原理
k8s 生态
09-22 2941
本篇是第七部分“网络篇”的第五篇。在这个部分,我会为你由浅入深的介绍 Docker 网络相关的内容。包括 Docker 网络基础及其实现和内部原理等。上篇,我为你介绍了 Docker 如何利用 iptables 为容器提供网络。本篇,我们深入了解下之前提到的 Docker 的一个组件 docker-proxy 的工作原理。 在之前的《Docker 核心架构及拆解()》我已经为你介绍过 d...
容器运行时:containerd
k8s 生态
09-22 1334
本篇是第八部分“生态篇”的第二篇。在这个部分,我会为你介绍 Docker 生态的相关项目,以及如何参与到 Docker 项目,最后会聊聊 Docker 未来的走向,上篇,我为你介绍下 DockerKubernetes 相关的内容。本篇,我们来聊聊容器运行时 containerd。 背景 在之前的《Docker 核心架构及拆解(上)》,我曾为你介绍了一些 containerd 与...
Docker容器时代的引领者
k8s 生态
09-22 1266
Docker 的发展历史 大家好,我是张晋涛,自 Docker 0.9 版本开始了自己的 Docker 之路后,到现在 Docker 19.03 版本也已经发布,大大小小的坑踩过无数个,也在实践和参与社区贡献的过程积累了很多经验。 2013 年 Docker 第一次在 PyCon 上亮相,随后在 Hacker News 上引起了强烈的反响,之后在 GitHub 上开源,从此它正式开启了 Dock...
Docker 内部 DNS 原理
k8s 生态
09-22 1128
本篇是第七部分“网络篇”的第六篇。在这个部分,我会为你由浅入深的介绍 Docker 网络相关的内容。包括 Docker 网络基础及其实现和内部原理等。上篇,我为你介绍了 Docker 的一个重要组件 docker-proxy 的工作原理,本篇,我们来聊聊 Docker 内部 DNS 的原理。 在之前的内容《容器网络的灵活使用》,我为你介绍过当使用自定义的 bridge 网络时,Docke...
Docker 与 seccomp 之间的联系
k8s 生态
09-22 971
本篇是第六部分“安全篇”的最后一篇,前面三篇,我为你介绍了镜像容器安全相关的内容以及 LinuxLSM 如何为容器安全保驾护航。本篇,我们将重点放在 Linux 内核 seccomp 与 Docker 之间的联系。 前面两篇,我分别为你介绍了如何使用 Linux capabilities 和 Linux LSM 模块为 Docker 容器提供安全的能力。本篇,我们将继续容器安全的...
容器的核心:Namespace
k8s 生态
09-22 871
这是本专栏的第二部分:容器篇,共 8 篇,帮助大家由浅入深地认识和掌握容器。前面,我为你介绍了容器生命周期和资源管理相关的内容,让你对容器有了更加灵活的控制。之后从进程的角度带你认识了容器以及容器核心技术之一的 cgroups。本篇,我来为介绍容器的另一项核心技术:namespace。 什么是 namespace 我们仍然以 Wiki 上对 namespace 的定义开始: Name...
深入存储驱动:Overlay2
k8s 生态
09-22 835
本节是第五部分“存储篇”的最后一节,前两节我主要为你介绍了 Docker volume 及其应用,本节我将为你介绍 Docker 现在推荐的存储驱动 Overlay2 。 本节,我将为你介绍 Docker 现在推荐使用的存储驱动 Overlay2,在开始之前,你可以执行以下命令来查看 Docker 正在使用的存储驱动: (MoeLove) ➜ ~ docker info --format...
新兴内核安全技术:KRSI与eBPF的运行时安全机制及比较研究
通过在内核运行时对系统调用和内核对象进行安全检测和过滤,KRSI可以有效阻止恶意软件对系统的入侵和破坏。 KRSI的工作原理主要基于LSM和eBPF技术。LSM作为内核的一个安全子系统,可以提供对系统资源的访问控制和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

张晋涛-MoeLove

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值