docker(5)——docker安全

一、Docker安全简介

Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面:

  • Linux内核的命名空间机制提供的容器隔离安全。
  • Linux控制组机制对容器资源的控制能力安全。
  • Linux内核的能力机制所带来的操作权限安全。
  • Docker程序 (特别是服务端)本身的抗攻击性。
  • 其他安全增强机制对容器安全性的影响。

控制组资源控制的安全

  • 当docker run启动一个容器时Docker将在后台为容器创建一个独立的控制组策略集合。
  • Linux Cgroups提供了很多有用的特性,确保各容器可以公平地分享主机的内存、CPU、磁盘IO等资源。
  • 确保当发生在容器内的资源压力不会影响到本地主机系统和其他容器,它在防止拒绝服务攻击(DDoS)方面必不可少。

Docker服务端防护

  • 使用Docker容器的核心是Docker服务端, 确保只有可信的用户才能访问到Docker服务。
  • 将容器的root用户映射到本地主机上的非root用户,减轻容器和主机之间因权限提升而引起的安全问题。
  • 允许Docker服务端在非root权限下运行,利用安全可靠的子进程来代理执行需要特权权限的操作。这些子进程只允许在特定范围内进行操作。

其他安全特性

  • 在内核中启用GRSEC和PAX,这将增加更多的编译和运行时的安全检查;并且通过地址随机化机制来避免恶意探测等。启用该特性不需要Docker进行任何配置。
  • 使用一些有增强安全特性的容器模板。
  • 用户可以自定义更加严格的访问控制机制来定制安全策略。
  • 在文件系统挂载到容器内部时,可以通过配置只读模式来避免容器内的应用通过文件系统破坏外部环境,特别是一些系统运行状态相关的目录。

二、容器资源控制

在/sys/fs/cgroup 下面有很多诸如cpuset、cpu、 memory这样的子目录,也叫子系统。

在每个子系统下面,为每个容器创建一个控制组(即创建一个新目录),

控制组下面的资源文件里填上什么值,就靠用户执行docker run时的参数指定。

1.CPU限额

  • docker run -it --cpu-period= 100000 --cpu-quota=20000 ubuntu
  • cpu_ period和cpu_ quota这两个参效需要组合使用,用来限制进程在长度为cpu_ period 的一段时间内,只能被分配到总量为cpu_ quota 的CPU时间,以上设置表示20%的cpu时间。
root@server2 ~]# mount -t cgroup
[root@server2 ~]# cd /sys/fs/cgroup/
[root@server2 cgroup]# ls

[root@server2 ~]# cd /sys/devices/system/
[root@server2 system]# ls
clockevents  clocksource  container  cpu  edac  machinecheck  memory  node
[root@server2 system]# cd cpu/
[root@server2 cpu]# ls
cpu0  cpuidle   kernel_max  nohz_full  online    power    smt     vulnerabilities
cpu1  isolated  modalias    offline    possible  present  uevent
[root@server2 cpu]# cd cpu1/
[root@server2 cpu1]# cat online 
1
[root@server2 cpu1]# echo 0 > online 

 [root@server2 ~]# top

 两个进程同时消耗cpu资源:

 [root@server2 ~]# top

[root@server2 cpu]# cd
[root@server2 ~]# 
[root@server2 ~]# cd /sys/fs/cgroup/cpu
[root@server2 cpu]# ls
cgroup.clone_children  cpuacct.stat          cpu.cfs_quota_us   cpu.stat           system.slice
cgroup.event_control   cpuacct.usage         cpu.rt_period_us   docker             tasks
cgroup.procs           cpuacct.usage_percpu  cpu.rt_runtime_us  notify_on_release  user.slice
cgroup.sane_behavior   cpu.cfs_period_us     cpu.shares         release_agent
[root@server2 cpu]# cd docker/
[root@server2 docker]# ls

  top查看一下:

[root@server2 ~]# docker ps -a
CONTAINER ID   IMAGE     COMMAND   CREATED   STATUS    PORTS     NAMES
[root@server2 ~]# docker run -it --rm --cpu-period 100000 --cpu-quota 20000 busybox
/ # dd if=/dev/zero of=/dev/null &
/ # 

 

2. memory限额

容器可用内存包括两个部分:物理内存和swap交换分区。

docker run -d --memory 200M --memory-swap 200M nginx

--memory  设置内存使用限额,--memory-swap 设置swap交换分区限额。

[root@server2 ~]# cd /sys/fs/cgroup/memory/
[root@server2 memory]# cd docker/
[root@server2 docker]# ls

[root@server2 docker]# cd ..
[root@server2 memory]# mkdir x1
[root@server2 memory]# cd x1/
[root@server2 x1]# echo 209715200 > memory.limit_in_bytes 

[root@server2 x1]# cd /dev/shm/
[root@server2 shm]# free -m
[root@server2 shm]# dd if=/dev/zero of=bigfile bs=1M count=100
[root@server2 shm]# ls
bigfile
[root@server2 shm]# free -m
[root@server2 shm]# rm -fr bigfile
[root@server2 shm]# free -m

 [root@server2 shm]# yum install -y  libcgroup-tools.x86_64
[root@server2 shm]# cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=300

 [root@server2 ~]# docker run -d --memory 200M --memory-swap 200M nginx

 隔离性比较差,安全隔离
注意:因为docker和主机是共享的,所以进入镜像中看到的mem是2G,实际上它可以用的只有200M

[root@server2 ~]#  docker run -it --memory 200M --memory-swap 200M busybox   ##
/ # free -m
              total        used        free      shared  buff/cache   available
Mem:           1999         231         688           0        1080        1583
Swap:          2048           0        2048
/ # cd /proc/
/proc # ls
/proc # cat meminfo
/proc # cat cpuinfo

3.Block IO限制

docker run -it --device-write-bps /dev/sda :30MB ubuntu

--device-write- bps限制写设备的bps

目前的block IO限制只对direct IO有效。(不使用文件缓存)

三、docker安全加固

利用LXCFS增强docker容器隔离性和资源可见性

[root@server1 ~]# yum install -y lxcfs-2.0.5-3.el7.centos.x86_64.rpm
[root@server1 ~]# cd /var/lib/lxcfs/
[root@server1 lxcfs]# ls
[root@server1 lxcfs]# cd
[root@server1 ~]# lxcfs /var/lib/lxcfs/ &
[1] 15790

[root@server1 proc]# docker run -it --rm -m 200M -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw  -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw   -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw  -v /var/lib/lxcfs/proc/stat:/proc/stat:rw   -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw   -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw ubuntu
root@16b5a7b024d3:/# free -m
root@16b5a7b024d3:/# exit   
exit
[root@server1 proc]# docker run -it --rm -m 300M -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw  -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw   -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw  -v /var/lib/lxcfs/proc/stat:/proc/stat:rw   -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw   -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw ubuntu
root@a718ca32fec3:/# free -m
root@a718ca32fec3:/# exit
exit
[root@server1 proc]# 

 

[root@server1 ~]# docker ps

[root@server1 ~]# docker inspect ed75ac18b945

[root@server1 ~]# docker inspect ed75ac18b945 | grep Privileged

设置特权级运行的容器:--privileged=true

  • 有的时候我们需要容器具备更多的权限,如操作内核模块,控制swap交换分区,挂载USB磁盘,修改MAC地址等。
  • # docker run -it --rm --privileged=true  ubuntu

 

 

 设置容器白名单:--cap-add

--privileged=true 的权限非常大,接近于宿主机的权限,为了防止用户的滥用,需要增加权限,只提供给容器必须的权限。此时Docker提供了权限白名单的机制,使用--cap-add 添加必要的权限。

 [root@server1 ~]# docker ps

[root@server1 ~]# docker inspect 4334895720e3

 

安全加固的思路

保证镜像的安全

  • 使用安全的基础镜像
  • 删除镜像中的setuid和setgid权限
  • 启用Docker的内容信任
  • 最小安装原则
  • 对镜像进行安全漏洞扫描,镜像安全扫描器:Clair
  • 容器使用非root用户运行

保证容器的安全

  • 对docker宿主机进行安全加固
  • 限制容器之间的网络流量
  • 配置Docker守护程序的TLS身份验证
  • 启用用户命名空间支持(userns-remap)
  • 限制容器的内存使用量
  • 适当设置容器CPU优先级

 docker安全的遗留问题

  Docker安全的顶尖开源工具:

 

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值