本文探讨了Docker与虚拟机的区别、存在的安全问题及其架构缺陷,重点介绍了Docker-TLS加密的必要性和实战步骤,包括TLS协议概述、部署过程,旨在提升Docker通信的安全性。
文章目录
前言
TLS(Transport Layer
Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket
Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。TLS协议具备三大特性:保密性(数据都是加密传输,预防第三方嗅探)、数据完整性(基于MAC校验机制)、双向认证支持(避免身份被冒充)
在docker中,建立TLS加密是为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中 间人***,c/s
两端应该通过加密方式通讯。
一、Docker 容器与虚拟机的区别
1.隔离与共享
虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立 虚拟机,每个虚拟机都有自己的系统内核。 而
Docker 容器则是通过隔离的方式,将文件系 统、进程、设备、网络等资源进行隔离,再对权限、CPU
资源等进行控制,最终让容器之间互不影响, 容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源
docker容器共享同一个内核资源,而虚拟机是独立的使用的资源都是独立的。
2.性能与损耗
与虚拟机相比,容器资源损耗要少。 同样的宿主机下,能够建立容器的数量要比虚拟 机多。但是,虚拟机的安全性要比容器稍好,
要从虚拟机破到宿主机或其他虚拟机,需要 先破 Hypervisor 层,这是极其困难的。而 docker
容器与宿主机共享内核、文件系统等资源, 更有可能对其他容器、宿主机产生影响。
与虚拟机相比容器消耗资源要少的多,因为容器是共享内核的意味着,一个容器资源占用多,其他容器占用的就少,一个容器出现问题,其他容器都会出现问题,因此虚拟机安全性要比容器好
二、Docker 存在的安全问题
1.Docker 自身漏洞
作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。 常用的手段主要有
代码执行、权限提升、 信息泄露、权限绕过等。目前 Docker 版本更迭非常快,
Docker 用户最好将 Docker 升级为 最新版本。
2. Docker 源码问题
(1)Docker 提供了 Docker hub,可以让用户上传创建的镜像,以便其他用户下载,快速搭
建环境。但同时也带来了一些安全问题。例如下面三种方式: (1)上传恶意镜像
如果有在制作的镜像中植入、后门等恶意软件,那么环境从一开始就已经不安全了,后续更没有什么安全可言。
(镜像可能存爱*软件和病毒)
(2)镜像使用有漏洞的软件 Docker Hub 上能下载的镜像里面,75%的镜像都安装了有漏洞的软件。所以下载镜像后,
需要检查里面软件的版本信息,对应的版本是否存在漏洞,并及时更新打上补丁。
(老版本的镜像中环境有问题)
(3)中间人篡改镜像 镜像在传输过程中可能被篡改,目前新版本的 Docker 已经提供了相应的校验机制来预 防这个问题。
你上传的镜像被中间人劫持,篡改,这个时候你需要TLS安全证书,docker容器去找docker服务器做安全认证
三、Docker 架构缺陷与安全机制
Docker 本身的架构与机制就可能产生问题,例如这样一种场景,已经控制了宿主机上的一些容器,或者获得了通过在公有云上建立容器的方式,然后对宿主机或其他容器发起。
- 容器之间的局域网
主机上的容器之间可以构成局域网,因此针对局域网的 ARP 欺骗、嗅探、广播风暴等 方式便可以用上。
所以,在一个主机上部署多个容器需要合理的配置网络,设置 iptable 规则。
- DDoS 耗尽资源
Cgroups 安全机制就是要防止此类的,不要为单一的容器分配过多的资源即可避免此类问题。
有漏洞的系统调用 Docker与虚拟机的一个重要的区别就是Docker与宿主机共用一个操作系统内核。 一旦宿主内核存在可以越权或者提权漏洞,尽管Docker使用普通用户执行,在容器被时,者还可以利用内核漏洞跳到宿主机做更多的事情。
共享root用户权限 如果以 root 用户权限运行容器,容器内的 root 用户也就拥有了宿主机的root权限。
四:Dcoker-TLS加密实战
4.1:TLS概述
TLS(Transport Layer Security Protocol):传输层安全性协议,其前身安全套接层(Secure Sockets Layer,缩写作SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。
TLS协议的优势是与高层的应用层协议(如HTTP、FTP、Telnet等)无耦合。应用层协议能透明地运行在TLS协议之上,由TLS协议进行创建加密通道需要的协商和认证。应用层协议传送的数据在通过TLS协议时都会被加密,从而保证通信的私密性。
4.2:为什么要使用TLS加密
为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中 间人攻击,c/s 两端应该通过加密方式通讯。
1:对称DES 3DES AES长度不同长度越长安全越高,解密速度越慢
2:非对称RSA公钥,私钥、公钥:所有人可知(锁)私钥(钥匙)个人身份信息,不可抵赖。
3:证书:个人信息,密钥,有效期
4: ca:证书颁发机构ca证书
5.具体的TLS流程
密钥key---》身份签名csr---》(服务器/客户端)(结合ca.pem)制作证书pem
证书pem发送给客户端,客户端验证就使用证书验证
4.3:docker-TLS部署
实验环境
| 主机名 | IP地址 | 部署的服务 |
|---|---|---|
| master | 20.0.0.41 | docker-ce |
| client | 20.0.0.42 | docker-ce |
#本地主机解析文件
[root@localhost ~]# vim /etc/hosts
'//添加本地IP+主机名'
20.0.0.41 master
#修改主机名
[root@localhost ~]# hostnamectl set-hostname master
[root@localhost ~]# su
[root@master ~]#
#ping一下本地
[root@master ~]# ping master
PING master (20.0.0.41) 56(84) bytes of data.
64 bytes from master (20.0.0.41): icmp_seq=1 ttl=64 time=0.033 ms
#客户端同样
[root@localhost ~]# vim /etc/hosts
20.0.0.41 master
#修改主机名
[root@localhost ~]# hostnamectl 
最低0.47元/天 解锁文章
扫一扫
1055
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
