备案控制台
探索云世界
开发者社区 云原生 容器服务 文章 正文

Docker安全性(一)——Docker容器真的安全吗?

2014-12-03 1698
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: Docker安全性(一)——Docker容器真的安全吗?本文翻译自Daniel J Walsh的一篇开源文章:http://opensource.com/business/14/7/docker-security-selinux这篇文章是基于一个演讲中"今年在我DockerCon上的分享":http://v.youku.com/v_show/id_XODQwNjUwNTIw.html。

Docker安全性(一)——Docker容器真的安全吗?

本文翻译自Daniel J Walsh的一篇开源文章:http://opensource.com/business/14/7/docker-security-selinux

这篇文章是基于一个演讲中"今年在我DockerCon上的分享":http://v.youku.com/v_show/id_XODQwNjUwNTIw.html

这将讨论Docker容器的安全性,我们目前正在做什么,和我们将朝哪里走。

这是一个系列Docker安全的一部分,阅读第二部分

 

容器不包含一切,包括安全

我听到和读到了很多人假定Docker的容器实际上是沙箱应用程序,这意味着他们可以在他们的系统以root身份运行的Docker随机的应用程序。他们相信Docker容器实际上保护他们的主机系统。
•我听到有人说,Docker容器同样是安全的,因为在不同的虚拟机/ KVM正在运行的进程。
•我知道人们正在下载随机Docker镜像,然后启动他们自己的主机上。
•我甚至看到的PaaS服务器(还不是OpenShift)可以让用户上传自己的照片,以在多租户系统上运行。
•我有一个同事谁说:“Docker即将运行从Internet下载的随机代码,并作为root运行它”

“你能走进我的客厅里?”蜘蛛对苍蝇说。

停止假设Docker和Linux内核保护你免受恶意软件侵害。

 

你关心吗?

 

如果你是不是在多租户系统运行Docker,你正在使用一个容器中运行的服务,良好的安全实践,你也许并不需要担心。姑且认为在容器内运行的特权进程是相同的运行在容器外部特权进程。

有些人做容器的认为比正在运行的虚拟机的更好,更快的方法的错误。从安全的角度来看,容器要弱得多,我将在本文后面掩盖。

如果你相信,我这样做, - 意思视为运行Apache你把Apache服务的系统上运行的方式相同容器中Docker的容器应被视为“容器服务”,这意味着你会做以下几点:
•尽快删除权限
•尽可能以非root运行您服务
•容器内款待root,就好像它是root容器的以外

目前,我们正在告诉人们在一般条件到一个容器内处理权限的进程具有相同条件的容器外运行的特权进程。

不要在系统上运行随机的Docker图像。在很多方面我看Docker容器革命类似于1999年左右的Linux的革命。在那个时候,当管理员听到一个新酷Linux的服务,他们会:
•在像rpmfind.net的地方或者只是随机的的网站在Internet上搜索包
•下载程序到他们的系统
•如果通过RPM安装或使安装
•与特权运行它

 

怎么会错呢?

 

两个星期后,管理员听到关于zlib的脆弱性和具有搞清楚,如果,同时希望并祈祷这不是,他们的软件是脆弱的!

这是Red Hat分发等少数可信方已加强在扭转败局。红帽企业Linux管理员提供:
•一个值得信赖的存储库,他们可以从下载软件
•安全更新修复漏洞
•一个安全响应小组发现和管理漏洞
•一个工程师团队来管理/维护包和安全增强工作
•通用标准认证检查操作系统的安全性

仅运行可信方容器。我相信你应该继续从谁你已经从过去得到它一样的人得到您的代码/包。如果代码不是来自内部或受信任的第三方,不靠容器技术来保护你的主机。

 

那么,问题是什么?为什么容器中不包含那些内容?

 

最大的问题就是一切在Linux中没有命名空间。目前,Docker使用五个命名空间来改变系统的流程视图:过程,网络,安装,主机名,共享内存。

虽然这些给用户的安全性的某种程度它绝不是全面,像KVM。在KVM环境中虚拟机进程不跟主机内核直接。他们没有任何访问内核的文件系统,如/ sys和/sys/fs, /proc/*。

设备节点用来交流内核的虚拟机不是主机。因此,为了有一个特权提升了虚拟机,该过程必须subvirt(一个基于虚拟机的后门)虚拟机的内核,发现在管理程序中的漏洞,通过SELinux的控制突破(sVirt),这是非常紧的在虚拟机上,最后攻击主机内核。

当你在一个容器中运行你已经读懂了你在哪里聊到主机内核。

主要的内核子系统都没有命名空间,如:
•SELinux的
•cgroup中
•在/ sys下的文件系统
•/proc/sys, /proc/sysrq-trigger, /proc/irq, /proc/bus

设备没有命名空间:
•/ dev/ MEM
•/ dev/ SD*文件系统设备
•内核模块

如果你能沟通或攻击的其中之一作为特权的过程中,你可以拥有自己的系统。

本文翻译自Daniel J Walsh的一篇开源文章:http://opensource.com/business/14/7/docker-security-selinux

 

PPT的大概内容页面:

Are Docker containers really secure?

Bringing new security features to Docker

How to grant rights to users to use Docker in Fedora

PPT的大概内容:

dockercon14 San Francisco June 9-10, 2014
 Docker and SELinux
Daniel J Walsh
Serior Principal Software Engineer
@rhatdan,danwalsh.livejournal.com,dwalsh@redhat.com

Containers do not contain

Do you care?

Everything in Linux is not namespaced
Not comprehensive like kvm
Kernel file systems:/sys,/sys/fs,/proc/sys
Cgroups,SELinux,/dev/mem,kernel modules

Treat container services just like regular services
Drop Privileges as quickly as possible
Run your services as non Root whenever possible
Treat root within a container as if it is root outside of the container
Don't run random containers on your system
Only run containers from trusted parties

Overview of security within docker containers
Read only mount points
/sys
/proc/sys
/proc/sysrq-tigger
/proc/irq
/proc/bus

Capabilityies
man capabilities

Description
For the purpose of performing permission checks, traditional UNIX implementations distinguish two categories of processes: privileged process (whose

effective user ID is 0, referred to as superuser or root), and unprivileged processes (whose effective UID is nonzero).
Privileged processes bypass all kernel permission checks, while unprivileged processes are subject to full permission checking based on the process's

credentials (usually: effective UID, effective GID, and supplementary group list).

Stating with kenel 2.2, Linux divedes the privileges traditionally associated with superuser into distinct units, know as capabilities, which can be

independently enabled and disabled. Capabilities are a per-thread attribute.

Capabliities removed
CAP_SETPCAP Modify process capablities
CAP_SYS_MODULE Insert/Remove kernel modules
CAP_SYS_RAWIO Modify Kernel Memory
CAP_SYS_PACCT Configure process accounting


...

SELinux gotchas
SELinux does not work with BTFS
Volume Mounts /var/lib/myapp
chcon -Rt svirt_sandbox_file_t/var/lib/myapp
Pull request for automatic labeling:
docker run -v /var/lib/myapp:/var/lib/myapp:Z ...
docker run -v /var/lib/myapp:/var/lib/myapp:z ...

Future
Ueser Name Space
libseccomp
--opt to all you to tighten security
--opt - Drop Capabilities
--opt - Alternate SELinux Types

 

文章标签:
云虚拟主机
容器
安全
Docker
Linux
虚拟化
关键词:
容器docker
Docker容器
容器安全
Docker安全
Docker容器安全
杨振平
目录
相关文章
李振良_阿良
|
2天前
|
存储 Kubernetes Docker
Kubernetes(K8S)集群管理Docker容器(概念篇)
Kubernetes(K8S)集群管理Docker容器(概念篇)
李振良_阿良
21 1
请回答1024
|
2天前
|
存储 Ubuntu 安全
Docker容器常用命令
Docker容器常用命令
请回答1024
11 1
游客799
|
8天前
|
存储 运维 监控
构建高效稳定的Docker容器监控体系
【4月更文挑战第18天】 在现代微服务架构中,Docker容器已成为部署和运行应用的标准环境。随之而来的挑战是如何有效监控这些容器的性能与健康状况,确保系统的稳定性和可靠性。本文将探讨构建一个高效稳定的Docker容器监控体系的关键技术和方法,包括日志管理、性能指标收集以及异常检测机制,旨在为运维人员提供实用的指导和建议。
游客799
13 0
橙子先生
|
9天前
|
存储 安全 Java
Java中的容器,线程安全和线程不安全
Java中的容器,线程安全和线程不安全
橙子先生
15 1
jianz123
|
17天前
|
Linux Docker 容器
docker 容器常用命令
docker 容器常用命令
jianz123
13 0
jianz123
|
17天前
|
Linux Shell 虚拟化
linux 部署docker容器虚拟化平台(二)--------docker 镜像制作方法
linux 部署docker容器虚拟化平台(二)--------docker 镜像制作方法
jianz123
28 0
jianz123
|
17天前
|
存储 Linux Shell
centos 部署docker容器 安装 、基本使用方法(一)
centos 部署docker容器 安装 、基本使用方法(一)
jianz123
32 0
风水道人
|
25天前
|
Kubernetes 网络协议 Docker
Docker 容器的DNS
Docker 容器的DNS
风水道人
28 1
1941623231718325
|
1月前
|
Java Go 开发者
Docker容器技术简介及其与Go语言的结合点
【2月更文挑战第23天】本文首先概述了Docker容器技术的核心概念和优势,接着探讨了Go语言与Docker容器技术的结合点。通过阐述Docker的轻量级、可移植性和版本控制等特性,以及Go语言在容器化应用中的优势,本文旨在说明两者结合能够实现更高效、灵活的应用开发和部署。
1941623231718325
41 3
wljslmz
|
1月前
|
Oracle 关系型数据库 数据库
在 Docker 中运行 Oracle 数据库容器详细教程
【2月更文挑战第21天】
wljslmz
184 2
云原生

容器服务

热门文章

最新文章

  • 1
    Docker 镜像加速器
  • 2
    Docker CE 镜像源站
  • 3
    Docker的Windows容器初体验
  • 4
    Serverless 成本再优化:Knative 支持抢占式实例
  • 5
    Docker常见故障排查指南 - 阿里云容器服务
  • 6
    网盘关闭不用怕:利用Docker和OSS轻松搭建ownCloud专属网盘
  • 7
    利用Docker和阿里云容器服务轻松搭建TensorFlow Serving集群
  • 8
    利用Docker和阿里云容器服务轻松搭建分布式TensorFlow训练集群(上)
  • 9
    容器内日志收集方案示例
  • 10
    Docker 1.13 编排能力进化
  • 1
    Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker 避坑
    22
  • 2
    Kubernetes(K8s)与虚拟GPU(vGPU)协同:实现GPU资源的高效管理与利用
    38
  • 3
    OpenKruise v1.6 版本解读:增强多域管理能力
    77
  • 4
    云计算与大数据:合作与创新
    65
  • 5
    Serverless 成本再优化:Knative 支持抢占式实例
    57682
  • 6
    在 ECS 上启动 minikube 失败的解决办法
    87
  • 7
    一文带你快速学会SpringBoot工程下MaBatis对数据的增删改查功能!
    70
  • 8
    享道出行:容器弹性技术驱动下的智慧出行稳定性实践
    58118
  • 9
    高光回眸:阿里云容器服务如何全面助力精彩亚运
    65116
  • 10
    【Docker系列】Docker-核心概念/常用命令与项目部署实践
    109

    • 相关课程

    更多
  • 深入解析Docker容器化技术
  • 基于Docker与Jenkins实现自动化部署
  • Docker 快速入门
  • Docker完全自学手册图文教程
  • AI开发者的Docker实践
  • Docker 入门

    • 相关电子书

    更多
  • 应用 Docker 进行持续交付:用技术改变交付路程
  • 从Docker到容器服务
  • 构建基因数据应用生态系统—— docker in Bio/informatics

    • 相关实验场景

    更多
  • 基于ACK Serverless实现容器应用弹性伸缩
  • 通过Ingress进行容器应用灰度发布
  • Docker Compose部署案例
  • Docker Compose入门
  • 容器中的volume卷
  • 容器的文件系统挂载

    • 推荐镜像

    更多
  • docker-ce
  • docker-toolbox
  • pouch
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)