本文探讨了Docker的安全性,重点在于Linux内核的命名空间隔离、控制组资源控制、内核能力机制以及Docker服务端的防护措施。虽然命名空间提供了一定的隔离,但与虚拟机相比隔离程度有限。控制组(cgroup)确保容器资源公平分配,防止DDoS。内核能力机制限制容器权限,降低风险。Docker服务端的防护策略包括限制访问者权限、非root运行服务及安全子进程。此外,用户还可以自定义更严格的访问控制策略。
1.docker的安全问题
docker容器的安全很大程度上依赖linux本身,因为是共享宿主机内核。
docker安全评估主要考虑以下几个方面:
1.linux内核的命名空间(namespace)机制提供的容器隔离安全
2.linux控制组(cgroup)对容器资源的控制能力安全
3.linux内核的能力机制所带来的操作系统安全
4.docker程序(主要是服务器端)本身的抗攻击能力
5.其他安全增强机制的影响
1.1 命名空间隔离安全
dockerrun启动一个容器时,后台会为容器创建一个独立的命名空间, 这是最基础的隔离,让容器作为一个独立的个体存在。 docker run -it --name vm1ubuntu 运行一个容器 ,ctrl+p+q退出,让容器保持运行
docker inspect vm1 | grepPid 容器其实就是一个进程,查看他的 pid
cd /proc/17634/ns这里就是命名空间(17634为Pid)
但是这种方式与传统虚拟机相比,隔离的不彻底,因为容器就是一个进程,那么多个容器就还是共用宿主机的内核。在linux内核中,有些资源和对象不能被namespace命名空间化,如:时间。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
