Docker的安全机制
Docker的安全很大程度依赖于Linux系统自身的安全,在使用中主要考虑的是一下几个方面的内容:1、Linux内核的命名空间(namespace)机制提供的容器隔离安全;2、Linux控制组(cgroup)对容器资源的控制能力安全;3、Linux内核的能力机制所带来的操作系统安全;4、Docker程序(主要是服务器端)本身的抗攻击能力;5、其他安全增强机制的影响。1.1 命名空间隔离安全命名..
Docker的安全很大程度依赖于Linux系统自身的安全,在使用中主要考虑的是一下几个方面的内容:
1、Linux内核的命名空间(namespace)机制提供的容器隔离安全;
2、Linux控制组(cgroup)对容器资源的控制能力安全;
3、Linux内核的能力机制所带来的操作系统安全;
4、Docker程序(主要是服务器端)本身的抗攻击能力;
5、其他安全增强机制的影响。
1.1 命名空间隔离安全
命名空间隔离,是最基础的隔离机制。Docker在启动容器时,会为容器创建独立的命名空间,让每个容器作为单独的个体存在。
###命名空间
[root@server1 ~]# docker run -it --name vm1 rhel7 bash
##为每一个运行的进程创建单独的命名空间,Pid进行隔离<相当于运行的进程>
为没一个
【说明】 这种隔离方式并不完整,因为本身容器依赖于宿舍主机运行,相当于运行在宿主机上的进程,例如时间等信息,依然和宿主机共享。
1.2 控制组(cgroup)资源隔离安全
Docker在启动时,后台会为容器创建一个独立的控制策略集合。
####控制资源组
###查看挂载到/sys/fs/cgroup中的资源分配策略
[root@server1 ~]# mount -t cgroup
[root@server1 ~]# cd /sys/fs/cgroup/cpu/docker
【说明】Linux cgroup本身提供了很多有用的特性,确保容器可以公平分享主机的内存、cpu等资源,确保当前容器的资源压力不会影响到宿主机上其他容器的使用,在DDos方面必不可少。
cgrop作为Linux内核特有的机制,对于每一个进程我们都可以设置相应的cgrop资源管理组,对每一个进程进行管理。
1.3 内核能力机制
内核能力也是依赖于Linux内核机制所实现的,这里可以提供细粒度的权限访问控制,采用白名单机制,禁用必须功能外的其他权限。
##设置特权级容器运行
[root@server1 ~]# docker run -it --privileged=true --name vm1 rhel7 bash
###--privileged=true 设置超级用户权限
###添加白名单 https://man7.org/linux/man-pages/man7/capabilities.7.html
[root@server1 ~]# docker run -it --rm --cap-add NET_ADMIN --name vm1 rhel7 bash
##添加某一项的特权
[root@server1 ~]# docker inspect vm1 | grep Capadd
1.4 Docker服务端防护
确保只有可信的用户才能访问到docker服务;将容器的root用户射到本地主机的非root用户,减轻容器和主机之间因权限提升而引起的安全问题;允许 docker服务端在非root权限下运行,利用安全可靠的子进程来代理执行需要特权的操作(子进程只允许在特定范围内操作)。
###安全加固 https://github.com/lxc/lxcfs
#######使用LXCFS#######
yum install -y lxcfs-2.0.5-3.el7.centos.x86_64.rpm
##通过挂载来实现
docker run -it -m 256m --memory-swap 256m \
-v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
-v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
-v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
-v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
-v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
-v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
-v /var/lib/lxcfs/proc/slabinfo:/proc/slabinfo:rw \
ubuntu:18.04 /bin/bash
1.5 其他安全特性
使用有增强安全特性的容器模板;用户可以定义更加严格的访问控制机制等 (比如文件系统挂载到容器内部时,设置只读)
容器安全加固思路:
保证镜像安全 --> 保证容器安全
镜像安全:安全的基础镜像;删除镜像中的setuid和setgid;启用Docker的内容信任;最小安装原则;对镜像进行安全扫描(Clair);使用非ROOT用户运行。
容器安全:对宿主机安全机制进行加固;限制容器之间的流量交流;配置Docker守护进程的TLS身份认证;启用命名空间;限制内存使用;设置优先级。
顶尖的Docker安全开源工具:Clair ;Dagda;Notary
遗留的安全问题:内核子系统没有命名空间;设备没有命名空间
更多推荐
所有评论(0)