docker防止fork炸弹

最新推荐文章于 2023-01-05 18:07:10 发布
最新推荐文章于 2023-01-05 18:07:10 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 云计算 文章标签: docker 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014630623/article/details/88959615
版权
本文探讨了Docker容器的安全性,特别是在面临fork炸弹威胁时的解决方案。通过设置--pids-limit启动选项限制cgroup中进程的最大数量,可以防止fork炸弹耗尽宿主机资源。此外,文章还讨论了Docker的安全机制,包括Docker daemon安全、镜像安全、内核安全、容器间的网络安全以及Capability限制,并列举了Docker面临的安全问题,如磁盘资源限制、容器逃逸、DoS攻击和超级权限问题。最后,提出了SELinux、user namespace、磁盘限额、容器流量限制和GRSecurity等安全增强措施。
摘要由CSDN通过智能技术生成

博客搬家,原地址:https://langzi989.github.io/2016/12/29/docker防止fork炸弹/

在开发过程中,我们使用了docker作为容器来进行编程语言代码的评测,以用于防止有害代码破坏宿主物理机器,但是在昨天发现docker还是会受fork炸弹的影响将宿主物理机器挂掉。针对这个问题,我在docker官网找到了相关的解决方法,记录分享并以备之后再次遇到此类问题可以很快找到解决方案。
当前解决方案只适用于docker1.1版本及之后(通过docker.io进行安装,sudo apt install docker.io)。
解决方案的思想就是:在启动docker的时候给其加上启动选项–pids-limit来限制cgroup中的fork的进程的最大数,我这里限制的30,可以根据自己的需求去限制。

docker run -it --pids-limit 30 Ubuntu:14.04

上述方法即可防止fork炸弹。
以下内容转载自http://blog.csdn.net/thinkhy/article/details/50995720

Docker容器与安全

<
最低0.47元/天 解锁文章
langzi989
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
c代码-fork炸弹,可以将linux/docker直接卡死瘫痪
07-14
c代码-fork炸弹,可以将linux/docker直接卡死瘫痪
[读书笔记]Docker容器安全
ThinkHY的专栏
03-28 4752
Docker能否大规模用于生产环境,尤其是公有云环境,就在于Docker是否能提供安全的环境。本文将总结《Docker容器容器云》一书3.9节『Docker容器安全』的主要内容,包括Docker现有安全机制、存在的安全问题以及Docker安全增强三个方面。
docker安全机制
安心Smile的博客
11-30 703
内核命名空间 Docker 容器和 LXC 容器很相似,所提供的安全特性也差不多。当用  docker run  启动一个容器时,在后台 Docker容器创建了一个独立的命名空间和控制组集合。 命名空间提供了最基础也是最直接的隔离,在容器中运行的进程不会被运行在主机上的进程和其它容器发现和作用。 每个容器都有自己独有的网络栈,意味着它们不能访问其他容器的 sockets 或接口。不过,如...
Docker安全机制
Jelly
01-07 3680
Docker安全很大程度依赖于Linux系统自身的安全,在使用中主要考虑的是一下几个方面的内容: 1、Linux内核的命名空间(namespace)机制提供的容器隔离安全; 2、Linux控制组(cgroup)对容器资源的控制能力安全; 3、Linux内核的能力机制所带来的操作系统安全; 4、Docker程序(主要是服务器端)本身的抗攻击能力; 5、其他安全增强机制的影响。 1.1 命名空间隔离安全 命名...
docker技术入门与实战读书笔记(一)
aodiantuan2808的博客
09-14 146
目录 docker技术入门与实战读书笔记(一) 1. docker简介 1.1 什么是docker 1.2 为什么使用docker 2. 基本概念 2.1 docker镜像 2.2 docker容器 2.3...
Docker安全机制详解(容器资源限制)
ly2020_的博客
08-09 1385
1.Docker安全 Docker容器安全性,很大程度上依赖于Linux系统自身,评估Docker安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。 与虚拟机方式相比,通过Linux namespace来实现的隔离不是那么彻底。 容器只是...
docker desktop安装包
01-08
Docker Desktop是一种开源的应用容器引擎,它允许开发者将他们的应用及依赖项打包到一个可移植的容器中,然后发布到任何流行的Linux机器上,甚至可以实现虚拟化。这种技术对于简化配置,节省项目环境部署时间以及...
docker windows 安装包
最新发布
05-27
docker windows 安装包
Docker — 从入门到实践》读书笔记
zhougb3的博客
10-22 393
简述 本笔记来源于电子书:Docker — 从入门到实践 docker版本变化 Docker从1.13版本之后采用时间线的方式作为版本号,分为社区版CE和企业版EE。 社区版是免费提供给个人开发者和小型团体使用的,企业版会提供额外的收费服务,比如经过官方测试认证过的基础设施、容器、插件等。 社区版按照stable和edge两种方式发布,每个季度更新stable版本,如17.06,17....
fork bomb 介绍
gray13的专栏
03-01 6796
下面就是一个最简单的 bash fork 炸弹: : () { : | : & } ; : 上面几个符号看上去很复杂,其实如果写成下面这个样子就好懂了,: 是函数名,执行一个调用自己的递归并且 pipe 到自己,& 表示后台执行程序,最后的一个 : 是在函数外调用和执行 : () 这个函数的意思: : () { : | : & }; : 上面几个符号看上去很复杂,其
读书笔记-第一本Docker书:Docker简介
肥叔菌的博客
04-25 8756
Docker时一个能够把开发的应用程序自动部署到容器的开源引擎。Docker的核心组件:Docker客户端和服务器(也称为Docker引擎),Docker镜像,Registry,Docker容器Docker客户端和服务器 Docker是一个客户端/服务器架构的程序。Docker客户端只需向Docker服务器或守护进程发出请求,服务器或守护进程将完成所有工作并返回结果。Docker守护进程有时也...
docker入门实战》读书笔记1——写在前面的话
陈旭媛
08-05 423
(1)写在前面的话 1)docker可以用来创建轻量级的“虚拟机” 2)docker只能运行在linux上 3)本书的三个目标分别是:docker解决的问题、docker如何解决这些问题、docker解决这些问题所使用到的技术 4)docker能做什么 1、隔离应用依赖 2、创建应用镜像并进行复制 3、创建容易分发的即启即用的应用 4、允许实例简单、快速地拓展 5、测试应用并随后
Linux fork炸弹及其预防
windowsxpwyd的专栏
09-02 1471
在Linux系统下执行这段代码  :(){  :|:&  };:    就会引起死机,一旦执行起来后,唯一的方法就是重启系统。实际上这段代码是一段无限递归代码,将系统资源耗尽。http://www.cyberciti.biz/faq/understanding-bash-fork-bomb/这个网页上有这段代码的详细解释,为了防止fork炸弹,方法就是限制用户能够启动的进程数。具体做法,编辑/etc/security/limits.conf文件,在末尾加入 :               *     
Linux fork炸弹以及预防办法
m0_60352504的博客
07-10 2072
fork炸弹是什么? fork炸弹以极快的速度创建大量进程(进程数呈以2为底数的指数增长趋势),并以此消耗系统分配予进程的可用空间使进程表饱和,而系统在进程表饱和后就无法运行新程序,除非进程表中的某一进程终止;但由于fork炸弹程序所创建的所有实例都会不断探测空缺的进程槽并尝试取用以创建新进程,因而即使在某进程终止后也基本不可能运行新进程。fork炸弹生成的子程序在消耗进程表空间的同时也会占用CPU和内存,从而导致系统与现有进程运行速度放缓,响应时间也会随之大幅增加,以致于无法正常完成任务,从而使系统的正常
Docker Capabilities
qq_36657175的博客
10-26 882
Linux Capability and Docker Capability
Docker容器的capability
somyjun的专栏
04-26 3471
linux capability是啥? 资料来源: http://man7.org/linux/man-pages/man7/capabilities.7.html “For the purpose of performing permission checks, traditional UNIX implementations distinguish two catego...
Docker capability】docker capability 属性功能介绍(docker运行时权限、Linux系统功能)
叮当猫的喵i
01-05 1404
出于容器之间和容器与宿主机的安全隔离保护,在默认的Docker配置下,Docker容器是没有系统权限的。这是因为在默认情况下,容器内的进程不允许访问任何宿主机上的设备。默认的seccomp配置文件将根据所选的功能进行调整,以允许使用功能所允许的功能,所以从Docker1.12之后的版本,不应该对此进行调整。时,将允许Docker容器访问宿主机上的所有设备,并在AppArmor或SELinux中设置一些配置,使容器内的进程可以与容器外运行的进程几乎一样权限来访问宿主机。如果想限制对特定设备的访问,可以使用。
Docker特权容器与capability
SHELLCODE_8BIT的博客
08-17 614
(1条消息) Docker 容器安全(1):我的容器真的需要privileged权限吗?_富士康质检员张全蛋的博客-CSDN博客_docker privileged
制作一枚有针对性的fork炸弹
Netfilter
09-09 9102
恕我不再赘述bash实现的fork炸弹。 我们看看把一个内部调用了fork的平常的程序制作成一枚fork炸弹是多么的简单。先看代码: #include <stdio.h> #include <stdlib.h> int main(int argc, char **argv) { if (fork() == 0) { printf("I am child\n"); exit(0); } printf("I am parent\n"); return 0
docker容器防止退出
03-29
有许多方法可以防止Docker容器退出,以下是一些常见的方法: 1. 使用Docker Compose:Docker Compose可以轻松地定义和运行多个容器,并提供服务发现和重启策略。 2. 使用Docker的restart策略:Docker提供了不同的restart策略,例如always、on-failure、unless-stopped等,可以根据需要选择适当的策略。 3. 使用监控工具:使用监控工具(如Prometheus、Grafana等)可以监视容器的状态并及时采取措施。 4. 使用健康检查:Docker提供了健康检查机制,可以在容器内运行脚本来检查服务是否正常运行,如果服务异常,容器将自动重启。 5. 使用容器编排工具:使用容器编排工具(如Kubernetes、Docker Swarm等)可以自动管理容器,包括自动重启、扩缩容等。 总之,防止Docker容器退出的方法有很多,需要根据实际情况选择适当的方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值