一、Docker安全简介
Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面:
- Linux内核的命名空间机制提供的容器隔离安全。
- Linux控制组机制对容器资源的控制能力安全。
- Linux内核的能力机制所带来的操作权限安全。
- Docker程序 (特别是服务端)本身的抗攻击性。
- 其他安全增强机制对容器安全性的影响。
控制组资源控制的安全
- 当docker run启动一个容器时Docker将在后台为容器创建一个独立的控制组策略集合。
- Linux Cgroups提供了很多有用的特性,确保各容器可以公平地分享主机的内存、CPU、磁盘IO等资源。
- 确保当发生在容器内的资源压力不会影响到本地主机系统和其他容器,它在防止拒绝服务攻击(DDoS)方面必不可少。
Docker服务端防护
- 使用Docker容器的核心是Docker服务端, 确保只有可信的用户才能访问到Docker服务。
- 将容器的root用户映射到本地主机上的非root用户,减轻容器和主机之间因权限提升而引起的安全问题。
- 允许Docker服务端在非root权限下运行,利用安全可靠的子进程来代理执行需要特权权限的操作。这些子进程只允许在特定范围内进行操作。
其他安全特性
- 在内核中启用GRSEC和PAX,这将增加更多的编译和运行时的安全检查;并且通过地址随机化机制来避免恶意探测等。启用该特性不需要Docker进行任何配置。
- 使用一些有增强安全特性的容器模板。
- 用户可以自定义更加严格的访问控制机制来定制安全策略。
- 在文件系统挂载到容器内部时,可以通过配置只读模式来避免容器内的应用通过文件系统破坏外部环境,特别是一些系统运行状态相关的目录。
二、容器资源控制
在/sys/fs/cgroup 下面有很多诸如cpuset、cpu、 memory这样的子目录,也叫子系统。
在每个子系统下面,为每个容器创建一个控制组(即创建一个新目录),
控制组下面的资源文件里填上什么值,就靠用户执行docker run时的参数指定。
1.CPU限额
- docker run -it --cpu-period= 100000 --cpu-quota=20000 ubuntu
- cpu_ period和cpu_ quota这两个参效需要组合使用,用来限制进程在长度为cpu_ period 的一段时间内,只能被分配到总量为cpu_ quota 的CPU时间,以上设置表示20%的cpu时间。
root@server2 ~]# mount -t cgroup
[root@server2 ~]# cd /sys/fs/cgroup/
[root@server2 cgroup]# ls
[root@server2 ~]# cd /sys/devices/system/
[root@server2 system]# ls
clockevents clocksource container cpu edac machinecheck memory node
[root@server2 system]# cd cpu/
[root@server2 cpu]# ls
cpu0 cpuidle kernel_max nohz_full online power smt vulnerabilities
cpu1 isolated modalias offline possible present uevent
[root@server2 cpu]# cd cpu1/
[root@server2 cpu1]# cat online
1
[root@server2 cpu1]# echo 0 > online
[root@server2 ~]# top
两个进程同时消耗cpu资源:
[root@server2 ~]# top
[root@server2 cpu]# cd
[root@server2 ~]#
[root@server2 ~]# cd /sys/fs/cgroup/cpu
[root@server2 cpu]# ls
cgroup.clone_children cpuacct.stat cpu.cfs_quota_us cpu.stat system.slice
cgroup.event_control cpuacct.usage cpu.rt_period_us docker tasks
cgroup.procs cpuacct.usage_percpu cpu.rt_runtime_us notify_on_release user.slice
cgroup.sane_behavior cpu.cfs_period_us cpu.shares release_agent
[root@server2 cpu]# cd docker/
[root@server2 docker]# ls
top查看一下:
[root@server2 ~]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
[root@server2 ~]# docker run -it --rm --cpu-period 100000 --cpu-quota 20000 busybox
/ # dd if=/dev/zero of=/dev/null &
/ #
2. memory限额
容器可用内存包括两个部分:物理内存和swap交换分区。
docker run -d --memory 200M --memory-swap 200M nginx
--memory 设置内存使用限额,--memory-swap 设置swap交换分区限额。
[root@server2 ~]# cd /sys/fs/cgroup/memory/
[root@server2 memory]# cd docker/
[root@server2 docker]# ls
[root@server2 docker]# cd ..
[root@server2 memory]# mkdir x1
[root@server2 memory]# cd x1/
[root@server2 x1]# echo 209715200 > memory.limit_in_bytes
[root@server2 x1]# cd /dev/shm/
[root@server2 shm]# free -m
[root@server2 shm]# dd if=/dev/zero of=bigfile bs=1M count=100
[root@server2 shm]# ls
bigfile
[root@server2 shm]# free -m
[root@server2 shm]# rm -fr bigfile
[root@server2 shm]# free -m
[root@server2 shm]# yum install -y libcgroup-tools.x86_64
[root@server2 shm]# cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=300
[root@server2 ~]# docker run -d --memory 200M --memory-swap 200M nginx
隔离性比较差,安全隔离
注意:因为docker和主机是共享的,所以进入镜像中看到的mem是2G,实际上它可以用的只有200M
[root@server2 ~]# docker run -it --memory 200M --memory-swap 200M busybox ##
/ # free -m
total used free shared buff/cache available
Mem: 1999 231 688 0 1080 1583
Swap: 2048 0 2048
/ # cd /proc/
/proc # ls
/proc # cat meminfo
/proc # cat cpuinfo
3.Block IO限制
docker run -it --device-write-bps /dev/sda :30MB ubuntu
--device-write- bps限制写设备的bps
目前的block IO限制只对direct IO有效。(不使用文件缓存)
三、docker安全加固
利用LXCFS增强docker容器隔离性和资源可见性
[root@server1 ~]# yum install -y lxcfs-2.0.5-3.el7.centos.x86_64.rpm
[root@server1 ~]# cd /var/lib/lxcfs/
[root@server1 lxcfs]# ls
[root@server1 lxcfs]# cd
[root@server1 ~]# lxcfs /var/lib/lxcfs/ &
[1] 15790
[root@server1 proc]# docker run -it --rm -m 200M -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw -v /var/lib/lxcfs/proc/stat:/proc/stat:rw -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw ubuntu
root@16b5a7b024d3:/# free -m
root@16b5a7b024d3:/# exit
exit
[root@server1 proc]# docker run -it --rm -m 300M -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw -v /var/lib/lxcfs/proc/stat:/proc/stat:rw -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw ubuntu
root@a718ca32fec3:/# free -m
root@a718ca32fec3:/# exit
exit
[root@server1 proc]#
[root@server1 ~]# docker ps
[root@server1 ~]# docker inspect ed75ac18b945
[root@server1 ~]# docker inspect ed75ac18b945 | grep Privileged
设置特权级运行的容器:--privileged=true
- 有的时候我们需要容器具备更多的权限,如操作内核模块,控制swap交换分区,挂载USB磁盘,修改MAC地址等。
- # docker run -it --rm --privileged=true ubuntu
设置容器白名单:--cap-add
--privileged=true 的权限非常大,接近于宿主机的权限,为了防止用户的滥用,需要增加权限,只提供给容器必须的权限。此时Docker提供了权限白名单的机制,使用--cap-add 添加必要的权限。
[root@server1 ~]# docker ps
[root@server1 ~]# docker inspect 4334895720e3
安全加固的思路
保证镜像的安全
- 使用安全的基础镜像
- 删除镜像中的setuid和setgid权限
- 启用Docker的内容信任
- 最小安装原则
- 对镜像进行安全漏洞扫描,镜像安全扫描器:Clair
- 容器使用非root用户运行
保证容器的安全
- 对docker宿主机进行安全加固
- 限制容器之间的网络流量
- 配置Docker守护程序的TLS身份验证
- 启用用户命名空间支持(userns-remap)
- 限制容器的内存使用量
- 适当设置容器CPU优先级
docker安全的遗留问题
Docker安全的顶尖开源工具: