docker安全性分析

docker安全性分析docker windows,docker swarm,dockerfile,docker培训,openstack docker,docker安装,广东厂房安全性检测,湖北厂房安全性检测,广州市厂房安全性检测,阳春市厂房安全性检测
社会化媒体营销 > docker安全性分析

docker安全性分析(1)

一、在审查Docker的安全时,需要考虑三个主要方面:

容器内在的安全性,由内核命名空间和cgroup中实现;

docker守护程序本身的攻击面;

加固内核安全特性,以及它们如何与容器中互动。

Docker并不是虚拟机,Docker本来的用法也不是虚拟机。普通的虚拟机租户root和宿主root是分开的,而Docker的租户root和宿主root是同一个root。一旦容器内的用户从普通用户权限提升为root权限,他就直接具备了宿主机的root权限,进而进行几乎无限制的操作。这是因为Docker原本的用法是将进程之间进行隔离,为进程或进程组创建隔离开的运行空间,目的就是为了隔离有问题的应用,而进程之间的限制就是通过namespace和cgroup来进行隔离与配额限制。每一个隔离出来的进程组,对外就表现为一个container(容器)。在宿主机上可以看到全部的进程,每个容器内的进程实际上对宿主机来说是一个进程树。也就是说,Docker是让用户以为他们占据了全部的资源,从而给用户一个“虚拟机”的感觉。

二、安全策略

●SELinux或AppArmor

通过访问控制的安全策略,可以配置Linux内核安全模块,如安全增强型Linux(SELinux)和AppArmor,从而实现强制性的访问控制(MAC)用以将进程约束在一套有限的系统资源或权限中。

如果先前已经安装并配置过SELinux,那么可以在容器使用setenforce 1来启用它。Docker 守护进程的SELinux功能默认是禁用的,需要使用--selinux-enabled来启用。容器的标签限制可使用新增的—-security-opt加载SELinux或者AppArmor的策略进行配置,该功能在Docker 版本1.3引入。

例如:

docker run --security-opt=secdriver:name:value -i -t centos bash

●namespaces和cgroups

Docker容器中非常相似LXC容器,它们都具有类似的安全功能。当以“docker run”启动一个容器,Docker为容器创建一组namespaces和cgroups。

cgroups使用特定的命令行参数来启用一些资源限制,防止单一的容器用尽某个资源而使系统瘫痪:

CPU:docker run -it --rm --cpuset=0,1 -c 2 ...

内存:docker run -it --rm -m 128m ...

存储:docker -d --storage-opt dm.basesize=5G

磁盘I/O

●挂载点

使用原生容器库(如libcontainer)时,Docker会自动处理这项。但是,使用LXC容器库时,敏感的挂载点最好以只读权限手动挂载,包括:

/sys

/proc/sys

/proc/sysrq-trigger

/proc/irq

点击显示全文

分页:123
  • 安全行业ThreadFix团队是如何把Docker应用到测试环境?

    _互联网_IT/计算机_专业资料。Docker给企业带来了很大价值!阅读全文,了解Threadfix团队是如何把Docker应用到测试环境的?安全行业|ThreadFix 团队是如何把 Docker 应用...

    2018-08-16 10:42:36
    606361
  • docker分析

    docker分析_计算机软件及应用_IT/计算机_专业资料。docker 分析 该文为《Docker ...则说明需要验证 server 端的安全性,tlsConfig 对 象需要加载一个受信的 ca ...

    2018-08-16 10:44:47
    691551
  • Docker安全吗?通过这三点来判断

    通过这三点来判断 在审查 Docker 的安全时,需要考虑三个主要方面: ? ? ? 容器内在的安全性,由内核命名空间和 cgroup 中实现; docker 守护程序本身的攻击面; ...

    2018-08-16 10:23:24
    177990
  • Docker容器技术剖析_图文

    非常松耦合的架构,模块之 间相互独立,具体请参看文章 Docker 技术架构详细分析...Docker 讲底层容器运行时剥离出来,实现更好的平台无关性。LibContainer 是对各种...

    2018-08-16 10:46:15
    472194
  • Docker原理深入解析与实践之道

    Docker 容器通信 4. Docker 集群组网与管理 5. Docker 安全漏洞与规避 Docker ...海量数据实时分析平台 ? 海量数据自动部署与智能运维平台 ? 某国企电力项目海量...

    2018-08-16 10:37:10
    231824
  • docker安全性分析

    docker安全性分析_互联网_IT/计算机_专业资料。一、在审查 Docker 的安全时,需要考虑三个主要方面: 容器内在的安全性,由内核命名空间和 cgroup 中实现; docker ...

    2018-08-16 11:06:32
    313435
  • docker云架构

    Docker 作为云计算的虚拟化技术,安全性也是不可缺少的,但是安全永远是相对的, ...2014教师资格材料分析辅... 2014小学教师资格考试《... 2014年幼儿园教师资格考...

    2018-08-16 10:28:31
    286938
  • 基于Docker技术的安全性研究综述_

    因此下文主要从 Docker 所依赖的安全机制和 Docker 镜像安全这两方面进行安全性分析。 2.1 Docker 所依赖的安全机制 2.1.1Linux 命名空间《Namespace》 Namespace ...

    2018-08-16 10:45:23
    194418
加载中...
加载中...
  • XPath实例教程

    XPath实例教程 - XPath 实例教程一、基本的 XPath 语法 实例教程一、 基本的 XPath 语法类似于在一个文件系统中定位文件,如果路径以斜线 / 开始, 那么该路径就...

  • 八爪鱼如何通过xpath实现自定义定位元素

    八爪鱼如何通过xpath实现自定义定位元素_互联网_IT/计算机_专业资料。本文介绍八爪鱼如何通过xpath实现自定义定位元素。 八爪鱼·云采集服务平台 www.bazhuayu.com ...

  • XPath入门教程整理

    XPath入门教程整理 - XPath 入门教程目录 关于本教程中使用了例子...

  • 如何获取某个页面元素的XPath值

    如何获取某个页面元素的XPath值 - 假如现在我们想要获取百度首页《www.baidu.com》的“百度一下”按钮的 XPath 值,如下 图所示: 360 安全浏览器: 第一步:首先,...

  • 八爪鱼xpath入门教程以及定位元素实例

    八爪鱼xpath入门教程以及定位元素实例_计算机软件及应用_IT/计算机_专业资料。本文介绍八爪鱼xpath入门教程以及定位元素实例。 八爪鱼·云采集服务平台 www.bazhuayu....

24小时热门信息
  • 重建docker0网络《docker容器端口不通时试用》

    重建docker0网络《docker容器端口不通时试用》 - pkill docker iptables -t nat -F ifconfig docker0 down brctl delbr ...

    2018-08-16 10:55:30
    245925
  • Docker常用命令汇总

    Docker常用命令汇总 - 超实用:Docker常用命令汇总... Docker常用命令汇总_计算机软件及应用_IT/计算机_专业资料。超实用:Docker常用命令汇总 Docker 常用命令汇总一、查...

    2018-08-16 10:30:13
    155626
  • docker学习之基础知识

    docker学习之基础知识 - 内 部 公 开 ▲ Docker 学习之基础知识 Docker 是一个开源项目,诞生于 2013 年初,最初是 dotCloud 公司内部的一个业余 项...

    2018-08-16 10:32:21
    462582
  • docker云架构

    docker云架构 - docker,云架构,分布式集群... docker云架构_计算机软件及应用_IT/计算机_专业资料。docker,云架构,分布式集群 Docker:一种云计算下的新的虚拟化技术...

    2018-08-16 10:39:51
    286938
  • Docker安装配置步骤详解_图文

    Docker安装配置步骤详解 - Docker 安装配置步骤详解 1. 安装 Docker 使用 yum 命令安装 docker,如 yum -y install docker-io 2. 配...

    2018-08-16 10:20:03
    921948
  • Docker文件系统的分层与隔离

    Docker 文件系统的分层与隔离 M 老师:Docker 的很多特性都表现在它所使用的文件系统上,比如大家都知道 docker 的文件系统是分层的,所以它可以快速迭代,可以回滚。...

    2018-08-16 10:41:53
    188609
精彩推荐
手机版 | 欢迎来到社会化媒体营销
RSS订阅