本文探讨了Docker的安全性,强调了Linux命名空间、控制组和能力机制的角色。讨论了如何限制容器对物理主机资源的访问,如CPU和内存,并介绍了如何通过LXCFS增强容器隔离性。还提到了Docker服务端的安全防护措施,以及通过设置特权级运行的容器来管理敏感操作。最后,提出了Docker安全加固的思路,包括镜像安全、容器运行时安全和宿主机加固。
评估Docker的安全性时主要考虑:
- Docker容器的安全性,很大程度上依赖于Linux系统自身
- Linux内核的命名空间机制提供的容器隔离安全
- Linux控制组机制对容资源的控制能力安全
- Linux内核的能力机制所带来的操作权限安全
- Docker程序(特别是服务端)本身的抗攻击性
- 其他安全增强机制对容器安全性的影响
- 当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了一个最基础也最直接的隔离
- 与虚拟机方式相比,通过Linux namespace来实现的隔离不是很彻底的
- 容器只是运行在宿主机上的一种特殊的进程,多个容器之间用的就是同一个宿主机的操作系统内核
- 在Linux内核中,有很多资源和对象是不能被namespace化的,例如:时间
- 当docker run启动一个容器时,Docker将在后台为容器创建一个独立的控制组策略集合。
- Linux Cgroups提供了很多有用的特性,确保各容器可以公平地分享主机的内存、CPU、磁盘IO等资源。
- 确保当发生在容器内的资源压力不会影响到本地主机系统和其他容器,它在防止拒绝服务攻击(DDoS)方面必不可少。
- 能力机制(Capability)是Linux内核一个强大的特性,可以提供细粒度的权限访问控制。
- 大部分情况下,容器并不需要“真正的”root权限,容器只需要少数的能力即可。
- 默认情况下,Docker采用“白名单”机制,禁用“必需功能”之外的其他权限。
- 使用Docker容器的核心是Docker服务端,确保只有可信的用户才能访问到Docker服务。
- 将容器的root用户映射到本地主机上的非root用户,减轻容器和主机之间因权限提升而引起的安全问题。
- 允许Docker 服务端在非root权限下运行,利用安全可靠的子进程来代理执行需要特权权限的操作。这些子进程只允许在特定范围内进行操作。
- 在内核中启用GRSEC和PAX,这将增加更多的编译和运行时的安全检查;并且通过地址随机化机制来避免恶意探测等。启用该特性不需要Docker进行任何配置。
- 使用一些有增强安全特性的容器模板。
- 用户可以自定义更加严格的访问控制机制来定制安全策略。
- 在文件系统挂载到容器内部时,可以通过配置只读模式来避免容器内的应用通过文件系统破坏外部环境,特别是一些系统运行状态相关的目录。
容器的资源控制
- Linux Cgroups 的全称是 Linux Control Group。
是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等等。- 对进程进行优先级设置、审计,以及将进程挂起和恢复等操作。
- Linux Cgroups 给用户暴露出来的操作接口是文件系统。
在 /sys/fs/cgroup 下面有很多诸如 cpuset、cpu、 memory 这样的子目录,也叫子系统。- 在每个子系统下面,为每个容器创建一个控制组(即创建一个新目录)。
控制组下面的资源文件里填上什么值,就靠用户执行 doc
最低0.47元/天 解锁文章
扫一扫
561
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
