Docker入门之Docker安全

最新推荐文章于 2024-05-25 10:07:14 发布
最新推荐文章于 2024-05-25 10:07:14 发布
阅读量436 收藏
点赞数 2
分类专栏: 运维 企业项目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56993834/article/details/119027718
版权
一 理解Docker安全Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面:Linux内核的命名空间机制提供的容器隔离安全Linux控制组机制对容器资源的控制能力安全。Linux内核的能力机制所带来的操作权限安全Docker程序(特别是服务端)本身的抗攻击性。其他安全增强机制对容器安全性的影响命名空间隔离的安全:当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命...
摘要由CSDN通过智能技术生成

一 理解Docker安全

Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面: 

Linux内核的命名空间机制提供的容器隔离安全 

Linux控制组机制对容器资源的控制能力安全。 

Linux内核的能力机制所带来的操作权限安全 

Docker程序(特别是服务端)本身的抗攻击性。 

其他安全增强机制对容器安全性的影响

命名空间隔离的安全:

当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。

与虚拟机方式相比,通过Linux namespace来实现的隔离不是那么彻底。

容器只是运行在宿主机上的一种特殊的进程,那么多个容器之间使用的就还是同一个宿主机的操作系统内核

在 Linux 内核中,有很多资源和对象是不能被 Namespace 化的,比如:时间memory-swap设置swap交换分区限额。

内核能力机制:

能力机制(Capability)是Linux内核一个强大的特性,可以提供细粒度的权限访问控制。

大部分情况下,容器并不需要“真正的”root权限,容器只需要少数的能力即可。

默认情况下,Docker采用“白名单”机制,禁用“必需功能”之外的其他权限。

Docker服务端防护:

使用Docker容器的核心是Docker服务端,确保只有可信的用户才能访问到Docker服务。 

将容器的root用户映射到本地主机上的非root用户,减轻容器和主机之间因权限提升而引起的安全问题。

允许Docker 服务端在非root权限下运行,利用安全可靠的子进程来代理执行需要特权权限的操作。这些子进程只允许在特定范围内进行操作。

其他安全特性:

在内核中启用GRSEC和PAX,这将增加更多的编译和运行时的安全检查;并且通过地址随机化机制来避免恶意探测等。启用该特性不需要Docker进行任何配置。

使用一些有增强安全特性的容器模板。

用户可以自定义更加严格的访问控制机制来定制安全策略。

在文件系统挂载到容器内部时,可以通过配置只读模式来避免容器内的应用通过文件系统破坏外部环境,特别是一些系统运行状态相关的目录。

二 容器资源控制

Linux Cgroups 的全称是 Linux Control Group。

是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等等。

对进程进行优先级设置、审计,以及将进程挂起和恢复等操作。

[root@server1 ~]# docker run -d --name demo nginx
c77c7b63544c3a357d5f13f2bdc8b68b3678d8a31234ac170b814ab9d60c2124
[root@server1 ~]# docker inspect demo| grep Pid
            "Pid": 2842,
            "PidMode": "",
            "PidsLimit": null,
[root@server1 ~]# cd /proc/2842
[root@server1 2842]# ls
attr             cwd       map_files   oom_adj        schedstat  task
autogroup        environ   maps        oom_score      sessionid  timers
auxv             exe       mem         oom_score_adj  setgroups  uid_map
cgroup           fd        mountinfo   pagemap        smaps      wchan
clear_refs       fdinfo    mounts      patch_state    stack
cmdline          gid_map   mountstats  personality    stat
comm             io        net         projid_map     statm
coredump_filter  limits    ns          root           status
cpuset           loginuid  numa_maps   sched          syscall
[root@server1 2842]# cd ns/
[root@server1 ns]# ls
ipc  mnt  net  pid  user  uts
[root@server1 ns]# free -m
              total        used        free      shared  buff/cache   available
Mem:           1837         188        1125          16         524        1468
Swap:          2047           0        2047
[root@server1 ns]# docker run --help | grep mem
      --cpuset-mems string             MEMs in which to allow execution
      --kernel-memory bytes            Kernel memory limit
  -m, --memory bytes                   Memory limit
      --memory-reservation bytes       Memory soft limit
      --memory-swap bytes              Swap limit equal to memory plus
      --memory-swappiness int          Tune container memory swappiness (0
[root@server1 ns]# docker run --help | grep cpu
      --cpu-period int                 Limit CPU CFS (Completely Fair
      --cpu-qu
最低0.47元/天 解锁文章
Lee木川
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Docker资源分配--Cgroup
夏颜的博客
07-23 971
引言目前我们所提到的容器技术、虚拟化技术(不论何种抽象层次下的虚拟化技术)都能做到资源层面上的隔离和限制。
Docker开篇第二篇】Docker 掌握核心技术
半身风雪
06-06 5870
docker run命令可以与docker commit命令结合使用,以改变容器运行的命令。docker run命令首先在指定映像上creates可写的容器层,然后使用指定的命令starts它。也就是说,docker run等价于API 然后。使用docker start,可以重新启动已停止的容器,并保存之前的更改。这里的命令集比较多,如果你不太喜欢的话,可以迅速下滑值实例讲解区。我之所以把它放在最前面,是因为,我们以后要一直和它们交到,是需要熟悉的核心。呼!累死宝宝了,,,这里的命令类型真的太多了。...
docker run:–security-opt seccomp=unconfined选项解析 (安全计算模式Secure Computing Mode,实现系统调用过滤,禁用或允许某些系统调用)
最新发布
dzqxwzoe的博客
05-25 1063
Seccomp,即安全计算模式,是 Linux 内核的一部分,用于限制进程可以使用的系统调用2。通过禁止或限制对某些系统调用的访问,Seccomp可以有效减少攻击者能够利用的攻击面。Docker 在默认情况下启用了 Seccomp,并提供了一个默认的配置文件,该文件白名单了大约300个系统调用,其他的则被禁止。这意味着在 Docker容器中运行的进程只能访问这些已经过滤的系统调用。总的来说,Docker 的选项是一个强大的工具,可以提供更大的灵活性。
Docker基础篇3:容器管理
u013089490的博客
11-29 277
1、创建容器常用选项 1.1、创建容器常用指令 【创建容器常用指令】 【创建容器是限制资源】 1.2、创建容器应用 【运行一个容器】 [root@VM_190_147_centos ~]# docker container run -itd --name bs busybox #-i表示交互式,-t表示伪终端,-d表示后台运行,--name表示指定一个名字 226ef405c...
docker命令及选项大全
weixin_41825556的博客
05-31 1104
(说明:本文章非原创,因为觉实用,故记录以作后用,原文地址    https://www.cnblogs.com/maruidong/p/8011368.html)Docker命令Commands:    attach    Attach to a running container                --将终端依附到容器上              1> 运行一个交互型容器  ...
Docker-----------------Docker安全
MIsaka的博客
11-18 227
Docker容器与虚拟机的区别 隔离与共享         虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立 虚拟机,每个虚拟机都有自己的系统内核。而 Docker 容器则是通过隔离的方式,将文件系 统、进程、设备、网络等资源进行隔离,再对权限、CPU 资源等进行控制,最终让容器之间互不影响,容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。 性能与损耗 &nbs
docker入门ppt学习
02-22
Docker 入门学习 Docker 简介 ---------------- Docker 是一个应用程序,使用 Go 语言编写,基于 Linux 容器(LXC)设计思想。Docker 容器可以理解为一种轻量级的沙盒,每一个沙盒内运行着自己独有操作系统或者...
docker 入门实战
11-10
Docker是一个开源的引擎,可以轻松的为任何应用创建一个轻量级的、可移植的、自给自足的容器。开发者在笔记本上编译测试通过的容器可以批量地在生产环境中部署,包括VMs(虚拟机)、bare metal、OpenStack 集群和...
docker入门实战
04-04
docker入门指南docker入门指南docker入门指南docker入门指南docker入门指南
Docker学习笔记之docker入门
09-30
docker可以类比成window下的VMware。docker有两个基本的概念:容器(container)和镜像(image),分别对应为VMware...docker的强大之处在于VMware只能运行几个虚拟机的设备上docker可以同时运行几十甚至上百个虚拟机。
centos8 安装docker_如何在RHEL8或者CentOS8系统上安装Docker
weixin_39668479的博客
11-28 403
请关注本头条号,每天坚持更新原创干货技术文章。如需学习视频,请在微信搜索公众号“智传网优”直接开始自助视频学习1. 前言本文主要讲解如何在RHEL8或者CentOS8系统上安装Docker。本教程将指导您如何在RHEL8或CentOS8。Docker在RHEL8上没有得到官方支持,因为它已经被红帽工具-buildah和podman所取代。我们将在另一篇文章中讨论buildah和podman。但如果...
Docker设置容器CPU、memory、磁盘IO资源限制
软件工程小施同学 的专栏
05-13 2026
背景 在使用 docker 运行容器时,默认的情况下,docker没有对容器进行硬件资源的限制,当一台主机上运行几百个容器,这些容器虽然互相隔离,但是底层却使用着相同的 CPU、内存和磁盘资源。如果不对容器使用的资源进行限制,那么容器之间会互相影响,小的来说会导致容器资源使用不公平;大的来说,可能会导致主机和集群资源耗尽,服务完全不可用。 docker 作为容器的管理者,自然提供了控制容器资源的功能。正如使用内核的 namespace 来做容器之间的隔离,docker 也是通过内核的 cgroups 来
Docke 1.12 基础篇:48条命令(4)
知行合一 止于至善
09-24 6733
本文针对Docker1.12的48条命令,列出了container相关的18条,划分未必精确。 接下来看看这些条命令都是怎么用的。
Docker cpu限制分析
chuxiong5717的博客
07-01 127
本文测试了,docker容器限制cpu资源使用的几个配置参数。分别使用top和dstat命令分析了资源占有情况。 package main import ( "flag" "runtime" "fmt" ) func main() { cpunum := ...
docker 容器方式单机部署 openstack(arm64 环境)
toyangdon的博客
11-01 2434
DevStack文档中提到的lxc container部署方式,在arm64环境下会出现各种报错,可能是 openstack版本更新太快,而DevStack的脚本更新并未跟上。笔者在使用docker部署devstack的过程,通过解决报错问题,加深了openstack各组件的理解。
docker容器技术基础入门
qq_69041923的博客
04-24 1579
docker容器技术基础入门 文章目录docker容器技术基础入门容器(Container)传统虚拟化与容器的区别Linux NamespacesCGroupsdocker基本概念 容器(Container) 容纳,存储,运输。将一台主机可以运行某服务的容器,移到另外一台 传统虚拟化与容器的区别 虚拟主机,系统占用资源多。容器,占用资源少 虚拟化分为以下两类: 主机级虚拟化 全虚拟化 半虚拟化 我们平时用的VMware就是 容器级虚拟化 为什么要用虚拟机: 一个主机上使用不同的系

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值