摘要:本系列教程翻譯自,系列共有九篇,本文譯自第五篇。因此,本系列教程關鍵的第五章用來討論可能面臨的安全問題以及它們是如何影響到整體的安全性的。一些必要的安全措施包括使用非特權用戶運行容器。本圖中列舉了幾個用于維護和授權的安全性。
本系列教程翻譯自 Flux7 Docker Tutorial Series,系列共有九篇,本文譯自第五篇 Part 5: Docker Security。
該系列所有文章將參考其他學習資料翻譯,也會加入自己的學習作為部分注解。如有錯誤,歡迎指正。
題外話:本文所講的是傳統意義上的 Docker 安全,關于未來 Docker 的安全可以 參考這篇文章。
Docker 安全安全問題必須要被高度重視,無論是開發環境還是生產環境。如今 Docker 已經被部署在越來越多的地方,Docker 作為項目和平臺的安全性也越來越要被重視。
因此,本系列教程關鍵的第五章用來討論 Docker 可能面臨的安全問題以及它們是如何影響到 Docker 整體的安全性的。但并不是說 Docker 本身不安全:Docker 是建立在 LXC 的基礎上的,因此 Docker 繼承了 LXC 絕大部分安全優勢。
前文中提到 docker run 是用來運行容器的,那么 docker run 之后到底發生了什么?
docker run 命令初始化
Docker 調用 lxc-start 命令。
lxc-start 創建一系列的 namespaces 和 CGroups 進行資源限制。
namespace 是虛擬化的第一層,用于容器以及容器內之間互相隔離。所有的容器都有獨立的網絡棧、一個容器也無法訪問到另一個容器的 Socket 端口。如果你希望容器之間通過網絡互訪的話,就要開啟 Docker 的端口映射功能,或者為容器指定公網 IP。
CGroup 有如下的特點:
資源計數和資源控制。
限制內存、CPU、IO 和網絡使用。
試圖解決 Dos 攻擊問題。
更適用于多用戶、多進程的系統。
Docker Daemon 的攻擊層面對于 namespace 和 CGroups 不熟悉的童鞋可以參考這么幾篇文章:
Docker 基礎技術:Linux Namespace(上)
Docker 基礎技術:Linux Namespace(下)
Docker 基礎技術:Linux CGroup
Docker daemon 使用 root 權限運行,肯定需要有許多地方需要特別注意,例如:
如果 Docker 容器有權限訪問宿主機的話,那么要特別小心,Docker 進程的控制權只能給授權用戶。舉個極端的例子:容器內部的 UID=0 如果對容器外部某個不明程序執行了 chmod +s。
REST API 也支持 UNIX socket,從而避免了 XSS 攻擊。
REST API 的 HTTP 端口(如果有的話)只能對可信的網絡、VPN、IP 開放。
在服務器上運行 Docker 時需要與其他服務隔離。
一些必要的安全措施包括:
使用非特權用戶運行容器。
Apparmor,SELinux,grsec 都可以當成是一層額外的安全加固。
可以使用其他容器系統的安全功能。
Docker.io API本圖中列舉了幾個用于維護和授權的安全性 Docker API。
本專欄將會在以后的文章中慢慢介紹現在的 Docker API。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/7912.html
摘要:本系列教程翻譯自,系列共有九篇,本文譯自第四篇。由三個部分組成。由發布鏡像的供應商提供的。通過多重安全檢查進行認證的私有。用于進行和的操作,同時用于時的登錄認證。收到刪除信號和。通知已經刪除,刪除數據庫中的所有相關的記錄。 本系列教程翻譯自 Flux7 Docker Tutorial Series,系列共有九篇,本文譯自第四篇 Part 4: Registry & Workflo...
摘要:本系列教程翻譯自,系列共有九篇,本文譯自第四篇。由三個部分組成。由發布鏡像的供應商提供的。通過多重安全檢查進行認證的私有。用于進行和的操作,同時用于時的登錄認證。收到刪除信號和。通知已經刪除,刪除數據庫中的所有相關的記錄。 本系列教程翻譯自 Flux7 Docker Tutorial Series,系列共有九篇,本文譯自第四篇 Part 4: Registry & Workflo...
閱讀 2135·2021-10-14 09:43
閱讀 2197·2019-08-30 15:55
閱讀 726·2019-08-30 14:23
閱讀 2019·2019-08-30 13:21
閱讀 1235·2019-08-30 12:50
閱讀 2199·2019-08-29 18:46
閱讀 2280·2019-08-29 17:28
閱讀 2359·2019-08-29 17:21