Docker安全隐患及TLS加密通讯
一、Docker 存在的安全问题
1.1 Docker 自身漏洞
- 作为一款开源的应用 Docker 本身在实现上就会有代码缺陷。
- CVE官方记录Docker历史版本共有超过20项漏洞。
- 黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 Docker 版本更迭非常快,Docker 用户最好将 Docker 升级为 最新版本。
1.2 Docker 源码问题
Docker 提供了 Docker hub,可以让用户上传镜像,以便其他用户下载,从而快速搭建环境。但同时也带来了一些安全问题
例如:
- 黑客上传恶意镜像 如果有黑客在制作的镜像中植入木马、后门等恶意软件。
(那么环境从一开始就已经不安全了,后续更没有什么安全可言) - 镜像使用有漏洞的软件 Docker Hub 上能下载的镜像里面,75%的镜像都安装了有漏洞的软件。
(所以下载镜像后,需要检查里面软件的版本信息,对应的版本是否存在漏洞,并及时更新打上补丁) - 中间人攻击篡改镜像 镜像在传输过程中可能被篡改。
(目前新版本的 Docker 已经提供了相应的校验机制来预 防这个问题)
二、Docker 架构缺陷与安全机制
Docker 本身的架构与机制就可能产生问题,例如这样一种攻击场景,黑客已经控制了宿主机上的一些容器,或者获得了通过在公有云上建立容器的方式,然后对宿主机或其他容器发起攻击。
-
容器之间的局域网攻击
主机上的容器之间可以构成局域网,因此针对局域网的 ARP 欺骗、嗅探、广播风暴等攻 击方式便可以用上。所以,在一个主机上部署多个容器需要合理的配置网络,设置 iptable 规则。 -
DDoS 攻击耗尽资源
Cgroups 安全机制就是要防止此类攻击的,不要为单一的容器分配过多的资源即可避免此类问题。 -
有漏洞的系统调用
Docker与虚拟机的一个重要的区别就是Docker与宿主机共用一个操作系统内核。
一旦宿主内核存在可以越权或者提权漏洞,尽管Docker使用普通用户执行,在容器被入侵时,攻击者还可以利用内核漏洞跳到宿主机做更多的事情。 -
共享root用户权限
如果以 root 用户权限运行容器,容器内的 root 用户也就拥有了宿主机的root权限。
三、Docker 安全基线标准
下面从内核、主机、网络、镜像、容器以及其它等 6 个方 面总结 Docker 安全基线标准。
3.1 内核级别
- 及时更新内核。
- User NameSpace(容器内的 root 权限在容器之外处于非高权限状态)。
- Cgroups(对资源的配额和度量)。
- SELiux/AppArmor/GRSEC(控制文件访问权限)。
- Capability(权限划分)。
- Seccomp(限定系统调用)。
- 禁止将容器的命名空间与宿主机进程命名空间共享。
3.2 主机级别
- 为容器创建独立分区。
- 仅运行必要的服务。
- 禁止将宿主机上敏感目录映射到容器。
- 对 Docker 守护进程、相关文件和目录进行审计。
- 设置适当的默认文件描述符数。
(文件描述符:内核(kernel)利用文件描述符(file descriptor)来访问文件。文件描述符是非负整数。
打开现存文件或新建文件时,内核会返回一个文件描述符。读写文件也需要使用文件描述符来指定待读写的文件) - 用户权限为 root 的 Docker 相关文件的访问权限应该为 644 或者更低权限。
- 周期性检查每个主机的容器清单,并清理不必要的容器。
3.3 网络级别
- 通过 iptables 设定规则实现禁止或允许容器之间网络流量。
- 允许 Docker 修改 iptables。
- 禁止将 Docker 绑定到其他 IP/Port 或者 Unix Socket。
- 禁止在容器上映射特权端口。
- 容器上只开放所需要的端口。
- 禁止在容器上使用主机网络模式。