docker容器安全研究 安全(1、基本概念)

最新推荐文章于 2024-07-15 09:39:06 发布
最新推荐文章于 2024-07-15 09:39:06 发布
阅读量325 收藏
点赞数
分类专栏: 容器安全 文章标签: docker 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zdza_/article/details/107529752
版权

一 docker 简介

一 docker 初识

1、Docker 是一个开源的应用容器引擎,基于 Go 语言 并遵从 Apache2.0 协议开源。

2、Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。

3、容器是完全使用沙箱机制,相互之间不会有任何接口,更重要的是容器性能开销极低
Docker 是一个用于开发,交付和运行应用程序的开放平台。

4、Docker 使您能够将应用程序与基础架构分开,从而可以快速交付软件。借助 Docker,您可以与管理应用程序相同的方式来管理基础架构。通过利用 Docker 的方法来快速交付,测试和部署代码,您可以大大减少编写代码和在生产环境中运行代码之间的延迟。

5、传统VM解决的问题是资源调配的问题,而容器解决的问题是应用开发、测试和部署的问题

6、docker直接使用宿主机操作系统调度硬件资源 ,资源利用率更强

7、正是由于5、6,两点所以我们更加关心docker的安全

二 docker 架构

镜像(Image):Docker 镜像(Image),就相当于是一个 root 文件系统。比如官方镜像 ubuntu:16.04 就包含了完整的一套 Ubuntu16.04 最小系统的 root 文件系统。

容器(Container):镜像(Image)和容器(Container)的关系,就像是面向对象程序设计中的类和实例一样,镜像是静态的定义,容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等。

仓库(Repository):仓库可看成一个代码控制中心,用来保存镜像。

Docker 使用客户端-服务器 (C/S) 架构模式,使用远程API来管理和创建Docker容器。
Docker 容器通过 Docker 镜像来创建。
容器与镜像的关系类似于面向对象编程中的对象与类。

三 docker环境搭建

参考 菜鸟教程

https://www.runoob.com/docker/docker-tutorial.html

在这里插入图片描述

四 docker的常用命令

docker search <name>          //搜索指定的镜像
docker pull <name>            //拉取指定镜像
docker images                 //获取镜像名称   + -a   全部镜像
docker rm <images ID or name> //删除镜像
docker run -p 80:8080 tomcat  //run为运行命令 -p 宿主机端口:容器端口的映射关系
docker exec -it cf4a /bin/bash //进入 docker 容器
docker run -it -p 80:8080 tomcat /bin/bash //创建并进入容器
docker inspect                 // 获取容器/镜像的元数据。(可以用于默写数据的分析)
docker -V					   //挂载宿主机的一个目录
docker run -it -v /test:/sorft centos /bin/bash  //宿主机的、test目录挂载到容器的/soft目录 
冒号“:”冒号前面是宿主机 ,后面的目录是容器目录
docker container run \
--rm \    //停止运行后,自动删除容器文件
--name wordpress \ //容器的名字叫做wordpress
--volume "$PWD/":/var/www/html \ //将当前目录($PWD)映射到容器的/var/www/html(Apache 对外访问的默认目录)。因此,当前目录的任何修改,都会反映到容器里面,进而被外部访问到。
php:5.6-apache

docker 容器安全

安全问题

1、docker的主要矛盾点在于和宿主机共用内核,是在轻量级于系统安全之间做的一个取舍。

2、共用内核导致的问题是如果某个容器里的应用导致linux的内核崩溃 ,那么整个系统都会崩溃

3、Docker的自身漏洞

4、Docker源问题 (Docker提供了Docker Hub,可以让用户上传镜像,以便供其它用户下载;下载的镜像可能会被植入恶意程序,传输过程中的镜像被篡改,镜像所搭建的基础镜像本身就包含漏洞)

5、Docker架构与安全机制纰漏

安全问题与解决方案并不是一一对应的关系。

解决方案

1、namespace即“命名空间”,也称“名称空间” 。(将内核的全局资源做封装)

2、iptables:用户通过iptables这个代理,将用户的安全设定执行到对应的"安全框架"中,这个"安全框
架"才是真正的防火墙,这个框架的名字叫netfilter

3、Sysdig Falco 是一个开源的应用行为活动监测器

4、Cgroup又称“控制组”他主要是做资源控制。其原理是将一组进程放在一个控制组里,通过给这个控制组分配指定的可用资源,达到控制这一组进程可用资源的目的

5、Linux ulimit命令用于控制shell程序的资源。ulimit为shell内建指令,可用来控制shell执行程序的资源。

ZDZA_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker容器创建与管理
程序员光剑
07-30 356
Docker容器创建与管理 作者:禅与计算机程序设计艺术 / Zen and the Art of Computer Programming 关键词: Docker, 容器化, Linux容器, 微服务, DevOps 1. 背景介绍
Docker系列:Docker容器化技术介绍及实战应用
程序员光剑
08-03 902
Docker是一种轻量级虚拟化技术,用于构建、分发和运行应用程序。Docker利用容器技术将应用程序打包成标准的镜像文件,然后可以随时创建和部署任意数量的容器实例,而无需关心底层基础设施(比如网络设置,磁盘存储等)。通过容器化可以让开发人员在同一个操作系统上部署和运行多个应用程序,从而降低资源开销并提升效率。Docker可以在企业内部云或公共云帮助开发者快速交付软件,降低 IT 服务提供商的支出。为了更好地理解Docker,本文首先介绍Docker基本概念和术语。
docker安装/简介
qq_45255414的博客
09-19 273
docker简介 docker理念 Docker是基于Go语言实现的云开源项目。 Docker的主要目标是“Build,Ship and Run Any App,Anywhere”,也就是通过对应用组件的封装、分发、部署、运行等生命周期的管理,使用户的APP(可以是一个WEB应用或数据库应用等等)及其运行环境能够做到“一次封装,到处运行”。 Docker 容器在任何操作系统上都是一致的,实现了跨平台、跨服务器。只需要一次配置好环境,换到别的机子上就可以一键部署好,大大简化了操作。 一句话:解决了
「快学DockerDocker容器安全性探析
热门推荐
wml_JavaKill的博客
08-25 3万+
Docker容器安全性是容器化部署至关重要的一环。通过遵循最佳实践,定期更新镜像,实施隔离和监控,以及限制权限和加强网络安全性,可以有效降低容器部署所带来的安全风险。然而,安全性是一个持续的过程,需要不断关注和改进,以保障整个系统的稳定性和可靠性。
容器安全最佳实践和工具
最新发布
weixin_39372311的博客
07-15 907
容器安全是指保护容器化应用程序和基础设施免受潜在威胁和攻击的措施和策略。容器化技术(如Docker、Kubernetes)使得应用程序能够在隔离的环境运行,这既提供了灵活性,也引入了新的安全挑战。
容器安全苦恼?这份清单整理了27种容器安全工具
weixin_34024034的博客
03-13 664
Docker容器技术兴起的初期,对于许多企业而言,容器安全问题一直是他们在生产环境采用Docker的一大障碍。然而,在过去的一年,许多开源项目、初创公司、云供应商甚至是Docker公司自己,已经开始打造用于强化Docker环境的新解决方案,关于容器安全的担忧及挑战正在被逐渐解决。如今,许多容器安全工具可以满足容器整个生命周期的各方面...
容器安全
changxiaoshen的博客
11-06 172
NIST.SP.800-190容器安全指南.pdf
10-18
根据NIST SP.800-190的内容,我们首先需要了解容器基本概念容器是由容器引擎(如Docker)管理的一组轻量级、独立的运行环境,它们共享宿主机的操作系统内核,但各自拥有自己的文件系统、CPU和内存资源。与虚拟机...
2024年Linux最新Docker与containerd:容器技术的双璧_docker和containerd(1)
2401_83621426的博客
04-30 751
Docker 是由 Docker 公司(前身为 dotCloud 公司)于 2013 年推出的开源项目。它的创始人是 Solomon Hykes。Docker 最初是一个单一的开源项目,旨在简化应用程序的打包、交付和运行过程。Docker 最初采用了 LXC(Linux 容器)技术作为底层容器技术,但后来迁移到了自己开发的 libcontainer,这使得 Docker 容器更加轻量级、快速和安全
基于Docker的高性能计算系统设计1
08-08
此外,还详细介绍了如何在Docker容器内设计和实现这些技术,包括硬件平台结构、Docker架构(如Docker基本概念、卷的使用和扩展应用)以及软件系统组织结构。 在实现与测试阶段,论文展示了Cholesky分解、LU分解和...
Paas-容器安全
qq_38564282的博客
11-13 856
Paas-容器安全
Docker容器时代安全实践
wzlsunice88的博客
12-11 929
Docker容器时代安全实践 互联网安全团队 OPPO安全应急响应心    Docker容器安全实践   随着容器时代Docker技术的近年来高速发展, Google、Amazon等各大公司接连发布基于容器Docker的新业务,云计算进入Docker容器时代,那么Docker容器技术下给安全防御体系带来哪些挑战和变化呢?  以下OPPO互联网安全团队基于Docker容器技术的安全实践,...
Docker吗?Docker容器安全问题与解决办法
CN_TangZheng的博客
04-29 586
Docker容器实际上存在很多安全问题,包括镜像方面,源码方面,权限方面等等,针对这些安全漏洞,我们需要通过一些设置进行有效避免
容器安全概述
悦分享
07-04 4330
Docker是目前最具代表性的容器技术之一,对云计算及虚拟化技术产生了颠覆性的影响。以Docker为代表的容器技术,直接运行于宿主机操作系统内核,因此对于容器安全,很多人会有着这样的疑问:EDR(Endpoint Detection and Response)等主机安全方案,能否直接解决容器安全的问题?概括来说,容器/容器安全,可以包括以下四个类别:第一,就是容器环境基础设施的安全性,比如主机上的安全配置是否会影响到其上面运行的容器,主机上的安全漏洞是否会影响到容器,主机上的恶意进程是否会影响到容器容器
容器安全产品
悦分享
07-04 774
概述近两年,随着容器技术越来越多的被大家所青睐,容器安全也逐渐得到了广泛的关注和重视。NeuVector、Aqua、Twistlock等初创公司,陆续的推出了其容器安全的产品和解决方案。在国内,以绿盟科技为代表的安全厂商,也不断的在容器安全领域进行探索和尝试。对于容器环境,或者是容器云,其本质是云计算的一种实现方式,我们可以将其称为PaaS或者CaaS。因此,其整体的安全建设思路,是遵循云计算安全架构的。容器云环境的安全建设,如果暂时抛开物理安全的话,可以粗略分为两个主要方面:一方面是容器云内部的安全建设,
网络安全——容器安全 不容忽视!
dexunjiaqiang的博客
03-27 614
德迅蜂巢原生安全平台由德迅云安全自主研发,能够很好集成到云原生复杂多变的环境,如PaaS云平台、OpenShift、Kubernetes、Jenkins、Harbor、JFrog等等。通过提供覆盖容器全生命周期的一站式容器安全解决方案,德迅蜂巢可实现容器安全预测、防御、检测和响应的安全闭环。
容器安全加固
悦分享
07-07 446
Docker容器安全性,很大程度上依赖于Linux系统自身,评估Docker安全性时,主要考虑以下几个方面∶●Linux内核的命名空间机制提供的容器隔离安全●Linux控制组机制对容器资源的控制能力安全。●Linux内核的能力机制所带来的操作权限安全Docker程序(特别是服务端)本身的抗攻击性。●其他安全增强机制对容器安全性的影响。在使用 docker 运行容器时,默认的情况下,docker没有对容器进行硬件资源的限制,当一台主机上运行几百个容器,这些容器虽然互相隔离,但是底层却使用着相同的 CPU
docker安全
Yusheng9527的博客
03-16 871
docker安全 Docker存在的安全问题Docker自身漏洞Docker源码问题Docker架构缺陷与安全机制Docker安全基线标准内核级别主机级别网络级别镜像级别容器级别其他设置容器相关的常用安全配置方法容器最小化Docker远程API访问控制在docker服务配置文件指定监听内网ip重启 Docker在宿主机的firewalld上做IP访问控制在客户端上实现远程授权访问限制流量流向镜像安全 Docker存在的安全问题 Docker自身漏洞 作为一款应用Docker本身实现上会有代码缺陷。CVE官
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值