Docker安全

一、区别Docker容器与虚拟机

（一）、隔离与共享

虚拟机通过添加Hypervisor层，虚拟机出网卡、内存、cpu等虚拟硬件，再在其上建立虚拟机，每个虚拟机都有自己的系统内核，而Docker容器则是通过隔离的方式，将文件系统、进程、设备、网络等资源进行隔离，再对权限、cpu资源等进行控制，最终让容器之间互不影响。容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。

（二）、性能与损耗

与虚拟机相比，容器资源损耗要少，同样的宿主机下，能够建立容器的数量要比虚拟机多，但是，虚拟机的安全性要比容器稍好，要从虚拟机攻破到宿主机或其他的虚拟机，需要现攻破Hypervisor层，这是极其困难的。而docker容器与宿主机共享内核、文件系统等资源，更有可能对其他容器、宿主机产生影响。

二、Docker 存在的安全问题

（一）、Docker 自身漏洞

作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 Docker 版本更迭非常快，Docker 用户最好将 Docker 升级为 最新版本。

（二）、Docker 源码问题

Docker提供了Docker hub，可以让用户上传创建的镜像，以便其他用户下载，快速搭建环境，但同时也带来了一些安全问题，例如下面三种方式：
（1）黑客上传恶意镜像，如果有黑客再制作的镜像中植入木马、后门等恶意软件、那么环境从一开始就已经不安全了，后续更没有什么安全性可言。
（2）镜像使用有漏洞的软件Docker Hub上能下载的镜像里面，75%的镜像都安装了有漏洞的软件，所以下载镜像后，需要检测里面软件的版本信息，对应的版本是否存在漏洞，并及时打上补丁。
（3）中间人攻击篡改镜像，镜像在传