Docker安全性(一)——Docker容器真的安全吗?

  • 时间:
  • 浏览:0
  • 来源:大发彩神IOS下载_大发神彩IOS下载官方

另另另一个星期后,管理员听到关于zlib的脆弱性和具有搞清楚,就是 ,一块儿希望并祈祷这那么 ,亲们的软件是脆弱的!

并非 在系统上运行随机的Docker图像。在全都方面我看Docker容器革命类式于1999年左右的Linux的革命。在那个事先,当管理员听到另另另一个新酷Linux的服务,亲们会:

•在像rpmfind.net的地方就是 就是 我随机的的网站在Internet上搜索包

•下载应用线程池池到亲们的系统

•就是 通过RPM安装或使安装

•与特权运行它



...

仅运行可信方容器。我相信你应该继续从谁你就是 从过去得到它一样的人得到您的代码/包。就是 代码那么 来自组织组织结构或受信任的第三方,不靠容器技术来保护你的主机。

停止假设Docker和Linux内核保护你免受恶意软件侵害。

目前,亲们正在告诉亲们在一般条件到另另另一个容器内处置权限的应用应用线程池池具有相同条件的容器外运行的特权应用应用线程池池。

这将讨论Docker容器的安全性,亲们目前正在做那些,和亲们将朝哪里走。

本文翻译自Daniel J Walsh的一篇开源文章:http://opensource.com/business/14/7/docker-security-selinux

这是另另另一个系列Docker安全的一次要,阅读第二次要

“你能走进我的客厅里?”蜘蛛对苍蝇说。

Are Docker containers really secure?

Do you care?

Capabilityies

man capabilities

How to grant rights to users to use Docker in Fedora

设备节点用来交流内核的虚拟机那么 主机。就是 ,为了有另另另一个特权提升了虚拟机,该过程那么 subvirt(另另另一个基于虚拟机的后门)虚拟机的内核,发现在管理应用线程池池中的漏洞,通过SELinux的控制突破(sVirt),这是非常紧的在虚拟机上,最后攻击主机内核。

Bringing new security features to Docker

Description

For the purpose of performing permission checks, traditional UNIX implementations distinguish two categories of processes: privileged process (whose

让他是那么 在多租户系统运行Docker,你正在使用另另另一个容器中运行的服务,良好的安全实践,你你说并非 那么 担心。姑且认为在容器内运行的特权应用应用线程池池是相同的运行在容器组织组织结构特权应用应用线程池池。

让他能沟通或攻击的其中之一作为特权的过程中,让他拥有当事人的系统。

当你在另另另一个容器中运行你就是 学会英语了你在哪里聊到主机内核。

某些人做容器的认为比正在运行的虚拟机的更好,加快速度的方法的错误。从安全的强度来看,容器要弱得多,我将在本文上边掩盖。

credentials (usually: effective UID, effective GID, and supplementary group list).

最大的问题报告 就是 我一切在Linux中那么 命名空间。目前,Docker使用另一个命名空间来改变系统的流程视图:过程,网络,安装,主机名,共享内存。

设备那么 命名空间:

•/ dev/ MEM

•/ dev/ SD*文件系统设备

•内核模块

这篇文章是基于另另另一个演讲中"今年在我DockerCon上的分享":http://v.youku.com/v_show/id_XODQwNjUwNTIw.html

这是Red Hat整理等少数可信方已加强在扭转败局。红帽企业Linux管理员提供:

•另另另一个值得信赖的存储库,亲们可不并能从下载软件

•安全更新修复漏洞

•另另另一个安全响应小组发现和管理漏洞

•另另另一个工程师团队来管理/维护包和安全增强工作

•通用标准认证检查操作系统的安全性

人太好那些给用户的安全性的五种程度它绝那么 全面,像KVM。在KVM环境中虚拟机应用应用线程池池不跟主机内核直接。亲们那么 任何访问内核的文件系统,如/ sys和/sys/fs, /proc/*。

SELinux gotchas

SELinux does not work with BTFS

Volume Mounts /var/lib/myapp

chcon -Rt svirt_sandbox_file_t/var/lib/myapp

Pull request for automatic labeling:

docker run -v /var/lib/myapp:/var/lib/myapp:Z ...

docker run -v /var/lib/myapp:/var/lib/myapp:z ...

本文翻译自Daniel J Walsh的一篇开源文章:http://opensource.com/business/14/7/docker-security-selinux

Stating with kenel 2.2, Linux divedes the privileges traditionally associated with superuser into distinct units, know as capabilities, which can be

effective user ID is 0, referred to as superuser or root), and unprivileged processes (whose effective UID is nonzero).

Privileged processes bypass all kernel permission checks, while unprivileged processes are subject to full permission checking based on the process's

Capabliities removed

CAP_SETPCAP Modify process capablities

CAP_SYS_MODULE Insert/Remove kernel modules

CAP_SYS_RAWIO Modify Kernel Memory

CAP_SYS_PACCT Configure process accounting

Containers do not contain

PPT的相当于内容页面:

Future

Ueser Name Space

libseccomp

--opt to all you to tighten security

--opt - Drop Capabilities

--opt - Alternate SELinux Types

主要的内核子系统都那么 命名空间,如:

•SELinux的

•cgroup中

•在/ sys下的文件系统

•/proc/sys, /proc/sysrq-trigger, /proc/irq, /proc/bus

Treat container services just like regular services

Drop Privileges as quickly as possible

Run your services as non Root whenever possible

Treat root within a container as if it is root outside of the container

Don't run random containers on your system

Only run containers from trusted parties

dockercon14 San Francisco June 9-10, 2014

 Docker and SELinux

Daniel J Walsh

Serior Principal Software Engineer

@rhatdan,danwalsh.livejournal.com,dwalsh@redhat.com

Overview of security within docker containers

Read only mount points

/sys

/proc/sys

/proc/sysrq-tigger

/proc/irq

/proc/bus

PPT的相当于内容:

Everything in Linux is not namespaced

Not comprehensive like kvm

Kernel file systems:/sys,/sys/fs,/proc/sys

Cgroups,SELinux,/dev/mem,kernel modules

我听到和读到了全都人假定Docker的容器实际上是沙箱应用应用线程池池,这是因为亲们可不并能在亲们的系统以root身份运行的Docker随机的应用应用线程池池。亲们相信Docker容器实际上保护亲们的主机系统。

•我听到村里人 说,Docker容器同样是安全的,就是 在不同的虚拟机/ KVM正在运行的应用应用线程池池。

•我知道亲们正在下载随机Docker镜像,就是 启动亲们当事人的主机上。

•我甚至看过的PaaS服务器(还那么 OpenShift)可不并能让用户上传当事人的照片,以在多租户系统上运行。

•我有另另另一个同事谁说:“Docker即将运行从Internet下载的随机代码,并作为root运行它”

让他相信,我那我做, - 意思视为运行Apache你把Apache服务的系统上运行的方法相同容器中Docker的容器应被视为“容器服务”,这是因为让他做以下几点:

•尽快删除权限

•尽就是 以非root运行您服务

•容器内款待root,就好像它是root容器的以外

independently enabled and disabled. Capabilities are a per-thread attribute.

猜你喜欢

1500左右 买哪个手机 性价比高点

本回答由明星微博 推荐你对你你你这个 回答的评价是?扫描二维码下载小米5不错,1599,性价比高很糙推荐ZUKZ2搭载高通骁龙82014nmKryo四核64位,最高2.15

2020-03-22

目前华为的哪款手机性价比最高

4、系统:搭载2.4GHz八核麒麟9500防止器,是顶级旗舰芯片,天生就越来越快,采用新一代EMUI5.1系统,成功实现了性能提升与功耗平衡的再次突破,带来难以想象的高速与流畅

2020-03-22

天猫天猫,今年双11哪些最值得买?

贝因美菁爱3段奶粉价格1740到手价12400群克隆这条信息₳YrJTYsK187o₳后打开手淘百草味零食大礼包-千玺版价格299到手价138群克隆这条信息$2vxrYsKaK

2020-03-22

平安哪些产品性价比高?

收起更多回答(2) 我来答扫描二维码下载下载百度知道APP,抢鲜体验平安有全都的产品性价比有的是 很高的,关键有你在适合哪个产品,那个产品可是我性价比最高的,适合此人 的

2020-03-22

求推荐几款性价比高的手机!

1.屏幕:5.8英寸(直角)/5.6英寸(圆角)双曲面SuperAMOLED屏幕,分辨率为2220x101000(FHD+)。3.外壳颜色:谜夜黑、勃艮第红(具体以销售为准)。

2020-03-21