Docker安全
一、区别Docker容器与虚拟机
(一)、隔离与共享
虚拟机通过添加Hypervisor层,虚拟机出网卡、内存、cpu等虚拟硬件,再在其上建立虚拟机,每个虚拟机都有自己的系统内核,而Docker容器则是通过隔离的方式,将文件系统、进程、设备、网络等资源进行隔离,再对权限、cpu资源等进行控制,最终让容器之间互不影响。容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。
(二)、性能与损耗
与虚拟机相比,容器资源损耗要少,同样的宿主机下,能够建立容器的数量要比虚拟机多,但是,虚拟机的安全性要比容器稍好,要从虚拟机攻破到宿主机或其他的虚拟机,需要现攻破Hypervisor层,这是极其困难的。而docker容器与宿主机共享内核、文件系统等资源,更有可能对其他容器、宿主机产生影响。
二、Docker 存在的安全问题
(一)、Docker 自身漏洞
作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 Docker 版本更迭非常快,Docker 用户最好将 Docker 升级为 最新版本。
(二)、Docker 源码问题
Docker提供了Docker hub,可以让用户上传创建的镜像,以便其他用户下载,快速搭建环境,但同时也带来了一些安全问题,例如下面三种方式:
(1)黑客上传恶意镜像,如果有黑客再制作的镜像中植入木马、后门等恶意软件、那么环境从一开始就已经不安全了,后续更没有什么安全性可言。
(2)镜像使用有漏洞的软件Docker Hub上能下载的镜像里面,75%的镜像都安装了有漏洞的软件,所以下载镜像后,需要检测里面软件的版本信息,对应的版本是否存在漏洞,并及时打上补丁。
(3)中间人攻击篡改镜像,镜像在传