企业运维容器之 docker 安全

最新推荐文章于 2024-05-04 13:46:09 发布
最新推荐文章于 2024-05-04 13:46:09 发布
阅读量294 收藏 1
点赞数
文章标签: docker 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z17609273238/article/details/126639226
版权

目录

1. Docker 安全

2. 容器资源控制

3. docker 安全加固

4. 总结

1. Docker 安全

Docker 容器的安全性,很大程度上依赖于Linux系统自身,因为共享的是 linux 的内核;评估Docker的安全性时,主要考虑以下几个方面:

Linux 内核的命名空间机制提供的容器隔离安全;

Linux 控制组机制对容器资源的控制能力安全;

Linux 内核的能力机制所带来的操作权限安全;

Docker程序(特别是服务端)本身的抗攻击性;

其他安全增强机制对容器安全性的影响。

[root@node11 ~]# docker run -d --name vm1 nginx
b0b4f27e75a66f4ecc8354257b663703004ad56cad3c96ee75c8c6bb8d060634
[root@node11 ~]# docker ps -a
CONTAINER ID   IMAGE     COMMAND                  CREATED         STATUS         PORTS     NAMES
b0b4f27e75a6   nginx     "/docker-entrypoint.…"   9 seconds ago   Up 8 seconds   80/tcp    vm1
[root@node11 ~]# docker inspect vm1 | grep Pid
            "Pid": 33676,
            "PidMode": "",
            "PidsLimit": null,
[root@node11 ~]# cd /proc/33676
[root@node11 33676]# cd ns
[root@node11 ns]# ls
ipc  mnt  net  pid  user  uts

1).命名空间隔离的安全

当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。

与虚拟机方式相比,通过Linux namespace来实现的隔离不是那么彻底。

容器只是运行在宿主机上的一种特殊的进程,那么多个容器之间使用的就还是同一个宿主机的操作系统内核。

在 Linux 内核中,有很多资源和对象是不能被 Namespace 化的,比如:时间。

2).控制组资源控制的安全

当docker run启动一个容器时,Docker将在后台为容器创建一个独立的控制组策略集合。

Linux Cgroups提供了很多有用的特性,确保各容器可以公平地分享主机的内存、CPU、磁盘IO等资源。

确保当发生在容器内的资源压力不会影响到本地主机系统和其他容器,它在防止拒绝服务攻击(DDoS)方面必不可少。

3).内核能力机制

能力机制(Capability)是Linux内核一个强大的特性,可以提供细粒度的权限访问控制。

大部分情况下,容器并不需要“真正的”root权限,容器只需要少数的能力即可。

默认情况下,Docker采用“白名单”机制,禁用“必需功能”之外的其他权限。

虽然是超级用户,但是没有权限:

[root@node11 ~]# docker run -it  --rm busybox
/ # id
uid=0(root) gid=0(root) groups=10(wheel)
/ # ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
172: eth0@if173: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue
    link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.3/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever
/ # ip link set down eth0
ip: SIOCSIFFLAGS: Operation not permitted
/ #

4).Docker服务端防护

使用Docker容器的核心是Docker服务端,确保只有可信的用户才能访问到Docker服务。

将容器的root用户映射到本地主机上的非root用户,减轻容器和主机之间因权限提升而引起的安全问题。

允许Docker 服务端在非root权限下运行,利用安全可靠的子进程来代理执行需要特权权限的操作。这些子进程只允许在特定范围内进行操作。

5).其他安全特性

在内核中启用GRSEC和PAX,这将增加更多的编译和运行时的安全检查;并且通过地址随机化机制来避免恶意探测等。启用该特性不需要Docker进行任何配置。

使用一些有增强安全特性的容器模板。

用户可以自定义更加严格的访问控制机制来定制安全策略。

在文件系统挂载到容器内部时,可以通过配置只读模式来避免容器内的应用通过文件系统破坏外部环境,特别是一些系统运行状态相关的目录。

2. 容器资源控制

Linux Cgroups 的全称是 Linux Control Group。
是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等等。
对进程进行优先级设置、审计,以及将进程挂起和恢复等操作。
Linux Cgroups 给用户暴露出来的操作接口是文件系统。

它以文件和目录的方式组织在操作系统的 /sys/fs/cgroup 路径下。
执行此命令查看:mount -t cgroup

[root@node11 ~]# mount -t cgroup
cgroup on /sys/fs/cgroup/systemd type cgroup (rw,nosuid,nodev,noexec,relatime,xattr,release_agent=/usr/lib/systemd/systemd-cgroups-agent,name=systemd)
cgroup on /sys/fs/cgroup/devices type cgroup (rw,nosuid,nodev,noexec,relatime,devices)
cgroup on /sys/fs/cgroup/cpu,cpuacct type cgroup (rw,nosuid,nodev,noexec,relatime,cpuacct,cpu)
cgroup on /sys/fs/cgroup/freezer type cgroup (rw,nosuid,nodev,noexec,relatime,freezer)
cgroup on /sys/fs/cgroup/net_cls,net_prio type cgroup (rw,nosuid,nodev,noexec,relatime,net_prio,net_cls)
cgroup on /sys/fs/cgroup/cpuset type cgroup (rw,nosuid,nodev,noexec,relatime,cpuset)
cgroup on /sys/fs/cgroup/pids type cgroup (rw,nosuid,nodev,noexec,relatime,pids)
cgroup on /sys/fs/cgroup/memory type cgroup (rw,nosuid,nodev,noexec,relatime,memory)
cgroup on /sys/fs/cgroup/blkio type cgroup (rw,nosuid,nodev,noexec,relatime,blkio)
cgroup on /sys/fs/cgroup/hugetlb type cgroup (rw,nosuid,nodev,noexec,relatime,hugetlb)
cgroup on /sys/fs/cgroup/perf_event type cgroup (rw,nosuid,nodev,noexec,relatime,perf_event)

在 /sys/fs/cgroup 下面有很多诸如 cpuset、cpu、 memory 这样的子目录,也叫子系统。
在每个子系统下面,为每个容器创建一个控制组(即创建一个新目录)。
控制组下面的资源文件里填上什么值,就靠用户执行 docker run 时的参数指定。

[root@node11 ~]# cd /sys/fs/cgroup/
[root@node11 cgroup]# ls
blkio  cpuacct      cpuset   freezer  memory   net_cls,net_prio  perf_event  systemd
cpu    cpu,cpuacct  devices  hugetlb  net_cls  net_prio          pids

1).CPU限额

docker run -it --cpu-period=100000 --cpu-quota=20000 ubuntu

cpu_period 和 cpu_quota 这两个参数需要组合使用,用来限制进程在长度为 cpu_period 的一段时间内,只能被分配到总量为 cpu_quota 的 CPU 时间,以上设置表示20%的 cpu 时间。

[root@node11 cgroup]# docker run --help | grep cpu
      --cpu-period int                 Limit CPU CFS (Completely Fair Scheduler) period
      --cpu-quota int                  Limit CPU CFS (Completely Fair Scheduler) quota
      --cpu-rt-period int              Limit CPU real-time period in microseconds
      --cpu-rt-runtime int             Limit CPU real-time runtime in microseconds
  -c, --cpu-shares int                 CPU shares (relative weight)
      --cpus decimal                   Number of CPUs
      --cpuset-cpus string             CPUs in which to allow execution (0-3, 0,1)
      --cpuset-mems string             MEMs in which to allow execution (0-3, 0,1)
[root@node11 cgroup]# docker run -it  --rm --cpu-period 100000 --cpu-quota=20000 busybox
/ # dd if=/dev/zero of=/dev/null &  在运行容器时指定cpu百分比;

 

[root@node11 cgroup]# cd /sys
[root@node11 sys]# cd fs
[root@node11 fs]# ls
bpf  cgroup  pstore  xfs
[root@node11 fs]# cd cgroup/
[root@node11 cgroup]# ls
blkio  cpuacct      cpuset   freezer  memory   net_cls,net_prio  perf_event  systemd
cpu    cpu,cpuacct  devices  hugetlb  net_cls  net_prio          pids
[root@node11 cgroup]# cd cpu
[root@node11 cpu]# cd docker/
[root@node11 docker]# ls
cgroup.clone_children  cpuacct.stat          cpu.cfs_period_us  cpu.rt_runtime_us  notify_on_release
cgroup.event_control   cpuacct.usage         cpu.cfs_quota_us   cpu.shares         tasks
cgroup.procs           cpuacct.usage_percpu  cpu.rt_period_us   cpu.stat
[root@node11 docker]# pwd
/sys/fs/cgroup/cpu/docker
[root@node11 docker]# cat cpu.cfs_period_us
100000
[root@node11 docker]# cat cpu.cfs_quota_us
-1
[root@node11 docker]# cd 
669d80a044d4ad7190d0b79d1bf78534e6f6fb6f5a13e5e157b12b68d61851b4
[root@node11 669d80a044d4ad7190d0b79d1bf78534e6f6fb6f5a13e5e157b12b68d61851b4]# cat cpu.cfs_period_us
100000
[root@node11 669d80a044d4ad7190d0b79d1bf78534e6f6fb6f5a13e5e157b12b68d61851b4]# cat cpu.cfs_quota_us
20000

2).内存限制

容器可用内存包括两个部分:物理内存和 swap 交换分区。

docker run -it --memory 200M --memory-swap=200M ubuntu

–memory设置内存使用限额

–memory-swap设置swap交换分区限额

运行一个容器来设置其内存配额;

[root@node11 ~]# docker run -d --name vm2 --memory 200M --memory-swap 200M nginx
e1063b319bc2f1f798e07d5dcb24e15e9a361b758f5eb8997a18ff83aef0d0e0
[root@node11 ~]# docker ps -a
CONTAINER ID   IMAGE     COMMAND                  CREATED          STATUS          PORTS     NAMES
e1063b319bc2   nginx     "/docker-entrypoint.…"   16 seconds ago   Up 15 seconds   80/tcp    vm2
669d80a044d4   nginx     "/docker-entrypoint.…"   31 minutes ago   Up 31 minutes   80/tcp    vm1
[root@node11 ~]# cd /sys/fs/cgroup/
[root@node11 cgroup]# cd memory/
[root@node11 memory]# cd docker/
[root@node11 docker]# ls
669d80a044d4ad7190d0b79d1bf78534e6f6fb6f5a13e5e157b12b68d61851b4  memory.max_usage_in_bytes
cgroup.clone_children                                             memory.memsw.failcnt
cgroup.event_control                                              memory.memsw.limit_in_bytes
cgroup.procs                                                      memory.memsw.max_usage_in_bytes
e1063b319bc2f1f798e07d5dcb24e15e9a361b758f5eb8997a18ff83aef0d0e0  memory.memsw.usage_in_bytes
memory.failcnt                                                    memory.move_charge_at_immigrate
memory.force_empty                                                memory.numa_stat
memory.kmem.failcnt                                               memory.oom_control
memory.kmem.limit_in_bytes                                        memory.pressure_level
memory.kmem.max_usage_in_bytes                                    memory.soft_limit_in_bytes
memory.kmem.slabinfo                                              memory.stat
memory.kmem.tcp.failcnt                                           memory.swappiness
memory.kmem.tcp.limit_in_bytes                                    memory.usage_in_bytes
memory.kmem.tcp.max_usage_in_bytes                                memory.use_hierarchy
memory.kmem.tcp.usage_in_bytes                                    notify_on_release
memory.kmem.usage_in_bytes                                        tasks
memory.limit_in_bytes
[root@node11 docker]# cd e1063b319bc2f1f798e07d5dcb24e15e9a361b758f5eb8997a18ff83aef0d0e0
[root@node11 e1063b319bc2f1f798e07d5dcb24e15e9a361b758f5eb8997a18ff83aef0d0e0]# ls
cgroup.clone_children           memory.kmem.tcp.max_usage_in_bytes  memory.oom_control
cgroup.event_control            memory.kmem.tcp.usage_in_bytes      memory.pressure_level
cgroup.procs                    memory.kmem.usage_in_bytes          memory.soft_limit_in_bytes
memory.failcnt                  memory.limit_in_bytes               memory.stat
memory.force_empty              memory.max_usage_in_bytes           memory.swappiness
memory.kmem.failcnt             memory.memsw.failcnt                memory.usage_in_bytes
memory.kmem.limit_in_bytes      memory.memsw.limit_in_bytes         memory.use_hierarchy
memory.kmem.max_usage_in_bytes  memory.memsw.max_usage_in_bytes     notify_on_release
memory.kmem.slabinfo            memory.memsw.usage_in_bytes         tasks
memory.kmem.tcp.failcnt         memory.move_charge_at_immigrate
memory.kmem.tcp.limit_in_bytes  memory.numa_stat
[root@node11 e1063b319bc2f1f798e07d5dcb24e15e9a361b758f5eb8997a18ff83aef0d0e0]# cat memory.limit_in_bytes
209715200
新建一个目录会自动复制父级目录的东西;
[root@node11 cgroup]# cd memory/
[root@node11 memory]# ls
cgroup.clone_children           memory.kmem.tcp.limit_in_bytes      memory.oom_control
cgroup.event_control            memory.kmem.tcp.max_usage_in_bytes  memory.pressure_level
cgroup.procs                    memory.kmem.tcp.usage_in_bytes      memory.soft_limit_in_bytes
cgroup.sane_behavior            memory.kmem.usage_in_bytes          memory.stat
docker                          memory.limit_in_bytes               memory.swappiness
memory.failcnt                  memory.max_usage_in_bytes           memory.usage_in_bytes
memory.force_empty              memory.memsw.failcnt                memory.use_hierarchy
memory.kmem.failcnt             memory.memsw.limit_in_bytes         notify_on_release
memory.kmem.limit_in_bytes      memory.memsw.max_usage_in_bytes     release_agent
memory.kmem.max_usage_in_bytes  memory.memsw.usage_in_bytes         system.slice
memory.kmem.slabinfo            memory.move_charge_at_immigrate     tasks
memory.kmem.tcp.failcnt         memory.numa_stat                    user.slice
[root@node11 memory]# mkdir x1
[root@node11 memory]# cd x1
[root@node11 x1]# ls
cgroup.clone_children           memory.kmem.tcp.max_usage_in_bytes  memory.oom_control
cgroup.event_control            memory.kmem.tcp.usage_in_bytes      memory.pressure_level
cgroup.procs                    memory.kmem.usage_in_bytes          memory.soft_limit_in_bytes
memory.failcnt                  memory.limit_in_bytes               memory.stat
memory.force_empty              memory.max_usage_in_bytes           memory.swappiness
memory.kmem.failcnt             memory.memsw.failcnt                memory.usage_in_bytes
memory.kmem.limit_in_bytes      memory.memsw.limit_in_bytes         memory.use_hierarchy
memory.kmem.max_usage_in_bytes  memory.memsw.max_usage_in_bytes     notify_on_release
memory.kmem.slabinfo            memory.memsw.usage_in_bytes         tasks
memory.kmem.tcp.failcnt         memory.move_charge_at_immigrate
memory.kmem.tcp.limit_in_bytes  memory.numa_stat
[root@node11 x1]# cat memory.limit_in_bytes
9223372036854771712
[root@node11 x1]# echo 209715200 > memory.limit_in_bytes
[root@node11 x1]# cat memory.limit_in_bytes
209715200
[root@node11 x1]# df
Filesystem            1K-blocks    Used Available Use% Mounted on
/dev/mapper/rhel-root  28289540 5737792  22551748  21% /
devtmpfs                 485764       0    485764   0% /dev
tmpfs                    497948       0    497948   0% /dev/shm
tmpfs                    497948   20552    477396   5% /run
tmpfs                    497948       0    497948   0% /sys/fs/cgroup
/dev/sda1               1038336  138088    900248  14% /boot
/dev/sr0                4391278 4391278         0 100% /rhel7.6
tmpfs                     99592       0     99592   0% /run/user/0
overlay                28289540 5737792  22551748  21% /var/lib/docker/overlay2/87dda0eabfc51f667700ee1cce1f193fe5972180fcf9d842dc2cf1ca44276627/merged
[root@node11 x1]# cd /dev/shm  ##该目录会自动挂载物理内存一半
[root@node11 shm]# dd if=/dev/zero of=bigfile bs=1M count=300
300+0 records in
300+0 records out
314572800 bytes (315 MB) copied, 0.59594 s, 528 MB/s
[root@node11 shm]# free -m
              total        used        free      shared  buff/cache   available
Mem:           1996         282         863         320         850        1292
Swap:             0           0           0
[root@node11 shm]# rm -f bigfile
[root@node11 shm]# free -m
              total        used        free      shared  buff/cache   available
Mem:           1996         282        1163          20         550        1592
Swap:             0           0           0
调用指定的身份来查看其内存所做限制使用情况;可以看到大于256 M 时还是做执行了,因为其在 swap 分区做了一部分的缓存;
[root@node11 shm]#  yum install -y libcgroup-tools.x86_64
[root@node11 shm]# cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=300
300+0 records in
300+0 records out
314572800 bytes (315 MB) copied, 0.552017 s, 570 MB/s
[root@node11 shm]# free -m
              total        used        free      shared  buff/cache   available
Mem:           1998         162        1006         270         829        1403
Swap:          2047          46        2001
对 swap 分区限制,将执定使用特定的身份来测试;将内存和swap 的内存总共限制为200M;
[root@node11 shm]# cd /sys/fs/cgroup/memory/x1
[root@node11 x1]# cat memory.limit_in_bytes
209715200
[root@node11 x1]# cd /dev/shm/
[root@node11 shm]# ls
bigfile
[root@node11 shm]# rm -rf bigfile
[root@node11 shm]# cd -
/sys/fs/cgroup/memory/x1
[root@node11 x1]# echo 209715200 > memory.memsw.limit_in_bytes
[root@node11 x1]# cat memory.memsw.limit_in_bytes
209715200
[root@node11 x1]# cd /dev/shm/
[root@node11 shm]# cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=300
Killed
[root@node11 shm]# free -m
              total        used        free      shared  buff/cache   available
Mem:           1998         161        1006         271         830        1403
Swap:          2047           0        20470

3).Block IO限制
docker run -it --device-write-bps /dev/sda:30MB ubuntu
–device-write-bps限制写设备的bps
目前的block IO限制只对direct IO有效。(不使用文件缓存)

运行容器时,设定其写入速度为 30M;

[root@node11 ~]#  docker run -it --rm --device-write-bps /dev/sda:30M centos:7
\\[root@6a44c2cefda6 /]# dd if=/dev/zero of=bigfile bs=1M count=100 oflag=direct
100+0 records in
100+0 records out
104857600 bytes (105 MB) copied, 3.31943 s, 31.6 MB/s

3. docker 安全加固

利用LXCFS增强docker容器隔离性和资源可见性。

安装该软件包:

[root@node11 ~]# yum install lxcfs-2.0.5-3.el7.centos.x86_64.rpm -y
[root@node11 ~]#  lxcfs /var/lib/lxcfs/ &
[1] 39450
[root@node11 ~]# hierarchies:
  0: fd:   5: perf_event
  1: fd:   6: hugetlb
  2: fd:   7: blkio
  3: fd:   8: memory
  4: fd:   9: pids
  5: fd:  10: cpuset
  6: fd:  11: net_prio,net_cls
  7: fd:  12: freezer
  8: fd:  13: cpuacct,cpu
  9: fd:  14: devices
 10: fd:  15: name=systemd

[root@node11 ~]# cd /var/lib/lxcfs/
[root@node11 lxcfs]# ls
cgroup  proc
[root@node11 lxcfs]# cd cgroup/
[root@node11 cgroup]# ls
blkio        cpuset   freezer  memory        net_prio,net_cls  pids
cpuacct,cpu  devices  hugetlb  name=systemd  perf_event
[root@node11 cgroup]# cd ..
[root@node11 lxcfs]# cd proc
[root@node11 proc]# ls
cpuinfo  diskstats  meminfo  stat  swaps  uptime
下载 ubuntu 镜像来测试;
运行测试:
[root@node11 proc]# docker run  -it -m 256m \
>    -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
>    -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
>    -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
>     -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
>    -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
>    -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
> centos:7
[root@65bd6261a5cb /]# free -m
              total        used        free      shared  buff/cache   available
Mem:            256           3         252          19           0         252
Swap:           256           0         256
设置特权级运行的容器:–privileged=true
有的时候我们需要容器具备更多的权限,比如操作内核模块,控制swap交换分区,挂载USB磁盘,修改MAC地址等。
[root@node11 ~]#  docker run -it --rm busybox
/ # ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
186: eth0@if187: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever
/ # ip link set down eth0
ip: SIOCSIFFLAGS: Operation not permitted
/ # id
uid=0(root) gid=0(root) groups=10(wheel)
/ #
[root@node11 ~]# docker run -it --rm --privileged=true busybox
/ # ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
188: eth0@if189: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever
/ # ip link set down eth0
/ # ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
188: eth0@if189: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noqueue
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever
/ #
设置容器白名单:–cap-add
–privileged=true 的权限非常大,接近于宿主机的权限,为了防止用户的滥用,需要增加限制,只提供给容器必须的权限。此时Docker 提供了权限白名单的机制,使用–cap-add添加必要的权限。
capabilities手册地址:
[root@node11 ~]# docker run -it --rm --cap-add NET_ADMIN busybox
/ # fdisk -l
/ # ip addr add 192.168.10.10/24 dev ens33
ip: can't find device 'ens33'
/ # ip addr add 192.168.10.10/24 dev eth0
/ # ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
190: eth0@if191: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet 192.168.10.10/24 scope global eth0
       valid_lft forever preferred_lft forever
/ #

4. 总结

  • 以上了解了 docker 的安全现状,虽然还是有很多没有完善的地方,但不能否认 docker 依然是当前最安全的容器技术。

Docker安全的顶尖开源工具:

Docker Bench for Security 对照安全基准审计Docker容器的脚本

Clair API驱动的静态容器安全分析工具,拥有庞大的CVE数据库

Cilium 内核层可感知API的网络和安全工具

Anchore 使用CVE数据和用户定义的策略检查容器安全的工具

OpenSCAP Workbench 用于为各种平台创建和维护安全策略的环境

Dagda 用于在Docker容器中扫描漏洞、特洛伊木马、病毒和恶意软件的工具

Notary 使用服务器加强容器安全的框架,用于以加密方式委派责任

Sysdig Falco 提供了行为活动监控,可深入了解容器

黑 哲
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
ubuntu-grsec
06-12
这些方向已迁移到 。 安装 grsec 内核的 ansible 任务目前但也将迁移到 FPF grsec repo。 带有 grsecurity 的 Ubuntu 内核 本指南概述了使用为编译内核所需的步骤,专门用于 。 在本指南的最后,您将拥有两个 Debian 软件包,您可以将它们传输到App和Monitor服务器。 在你开始之前 本指南中的步骤假设您已设置并运行以下各项: SecureDrop 应用程序和监视器服务器(请参阅) 运行的离线服务器,用于编译内核 运行 12.04 或 14.04 的在线服务器,用于下载包依赖项 这个想法是,您将使用在线服务器下载软件包依赖项,将文件放在 U 盘上并将它们传输到离线服务器,然后使用离线服务器验证数字签名并编译新内核。 本文档的当前版本假定您正在编译 Linux 内核版本3.2.61和 Grsecurity 版本3.0-3.2.61-2
安全合规/等级保护--11--等级保护实际实施流程
武天旭的博客
04-30 661
一、测评准备 1、等级测评项目启动 参与:乙方 组建等级测评项目组,从资料、人员、计划安排等方面为整个等级测评项目的实施做好准备。 2、双方签署保密协议 参与:乙方 3、测评工具和文档准备 参与:甲方与乙方 准备测评工具,文档如授权书、记录表等。甲方确认。 4、信息收集和分析 参与:甲方与乙方 信息收集从物理方面、网络方面、主机方面、应用方面、管理方面等进行收集。 收集工作甲乙双方配合完成。 二、...
2024年运维最全Docker与containerd:容器技术的双璧_docker和containerd(5),2024年最新限时发布
最新发布
2401_83947398的博客
05-04 997
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
docker安全
LinuxOs of Internet
01-28 241
一.Docker安全Docker容器安全性,很大程度上依赖于Linux系统自身,评估Docker安全性时,主要考虑以下几个方面: 1.Linux内核的命名空间机制提供的容器隔离安全 2.Linux控制组机制对容器资源的控制能力安全 3.Linux内核的能力机制所带来的操作权限安全 4.Docker程序(特别是服务端)本身的抗攻击性 5.其他安全增强机制对容器安全性的影响 (一)命名空间隔离的安全docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间.命名空间提供了最
DockerDocker对用户的应用程序使用容器技术遵循的五个步骤和GRSEC详细讲解(文末赠书)
m0_75058342的博客
06-08 2951
DockerDocker对用户的应用程序使用容器技术遵循的五个详细步骤一一分解和GRSEC详细讲解使用
设置mysql日志,和登录会话要求,主要解决等保3.0要求的整改。我用docker安装的mysql
Zq
09-14 635
先注意我的run命令,一个是容器,一个是目录挂在 docker run --name mysql -p 3306:3306 -v G:\runtime\docker\mysql\data:/var/lib/mysql -v G:\runtime\docker\mysql\conf:/etc/mysql/conf.d -v G:\runtime\docker\mysql\log:/var/log/mysql -e MYSQL_ROOT_PASSWORD=123456 -d mysql:5.7 .
Grsecurity ACL系统
石头
02-18 822
ACL(Access Control List,访问控制列表)系统是一种软件,它能够为你的计算机提供更好的访问控制。Grsecurity是众多Linux ACL系统中比较典型和成熟的一种。这个文档是grsecurity工程的一个官方文档,是我最近在研究Linux的ACL系统时,顺便翻译的。 和lids之类的系统一样,grsecurity比较复杂,而且文档里面有很多地方也语焉不详,所以出现错误在所
linux运维笔记:docker容器入门知识.docx
10-14
linux运维笔记:docker容器入门知识
高效运维Docker持续部署图文详解
02-25
这是一种真正的容器级的实现,这个带来的好处,不仅仅是效率的提升,更是一种变革:开发人员第一次真正为自己的代码负责——终于可以跳过运维和测试部门,自主维护运行环境(首先是测试/开发环境)。难者不会
grsecurity 总结
王以山的专栏
10-13 4315
GRSecurity 为ACL系统提供了内核模块的支持,另外,在用户空间,还需要有gradm这个工具。ACL是 Access Control List的简写,支持ACL的系统可以对系统及系统文件,系统资源进行细力度的访问控制。GRSecurity 还没有集成到linux内核中,如
DockerDocker对用户的应用程序使用容器技术遵循的五个步骤和GRSEC详细讲解
shaomou的博客
02-21 5089
Docker对用户的应用程序使用容器技术遵循的五个步骤和GRSEC 一、Docker对用户的应用程序使用容器技术遵循的五个步骤 步骤1 步骤2 步骤3 步骤4 步骤5 二、GRSEC
docker安全评估(命名空间隔离安全、控制组资源控制安全、内核能力机制、docker服务端的防护)
Aimee_c的博客
06-04 561
文章目录1.docker安全问题1.1 命名空间隔离安全1.2 控制组资源控制安全1.3 内核能力机制1.4 docker服务端的防护1.5 其他安全特性 1.docker安全问题 docker容器安全很大程度上依赖linux本身,因为是共享宿主机内核。 docker安全评估主要考虑以下几个方面: 1.linux内核的命名空间(namespace)机制提供的容器隔离安全 2.linux控制组(cgroup)对容器资源的控制能力安全 3.linux内核的能力机制所带来的操作系统安全 4.docker程序
云上攻防-云原生篇&Docker安全&权限环境检测&容器逃逸&特权模式&危险挂载
Karka_的博客
03-28 1783
Docker是一个开放源代码软件,是一个开放平台,用于开发应用、交付(shipping)应用、运行应用。Docker允许用户将基础设施(Infrastructure)中的应用单独分割出来,形成更小的颗粒(容器),从而提高交付软件的速度。Docker 容器与虚拟机类似,但二者在原理上不同,容器是将操作系统层虚拟化,虚拟机则是虚拟化硬件,因此容器更具有便携性、高效地利用服务器。
Docker容器安全漏洞管理与测试
网络研究观
01-13 4268
随着容器技术的发展,了解新兴安全趋势并采用最佳实践对于旨在构建和维护安全容器环境的组织至关重要
Docker 容器安全风险和防御
tigerman20201的博客
03-20 240
本文对Docker架构以及基本安全特性进行介绍,分析了Docker面临的安全威胁,对Docker增强、安全检测、瘦身等方面的安全技术进行了分析梳理。但Docker安全问题还有许多待解决的问题值得深入研究:一是研究漏洞评估工具的可用性,研究和对比容器的漏洞扫描器性能、可用性、自动化性以及与当前部署和编排工具的集成问题,需解决0-day、1-day带给Docker的重大安全威胁;二是开发有效、实用和在线的安全补丁解决方案,因为容器在打补丁后需要重启,导致服务器(如Web服务器)产生业务断开;
docker(5)docker安全docker安全加固
qiao_qing的博客
02-03 454
文章目录1.docker安全的理解1)linux内核的命名空间机制提供的容器隔离安全2)linux控制组机制3)linux内核的命名空间隔离的安全4)控制组资源控制的安全2.容器的资源控制1)CPU限额2)内存限制3)容器内资源控制,会自动计算3.docker安全加固设置特权级运行的容器设置容器白名单安全加固的思路 1.docker安全的理解 评估Docker安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全 Linux控制组机制对容器资源的控制能力安全。 Linux内.
容器运维实战:探索Docker与Kubernetes集群
容器运维实战:Docker与Kubernetes集群 本资源主要介绍了容器运维实战相关的知识点,涵盖了Linux运维基础、自动化运维、高可用的Linux集群、Docker容器引擎等方面的内容。 **Linux运维基础** * Lmux基础:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑 哲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值