Docker 安全加固

一、docker安全加固

1、利用LXCFS增强docker容器隔离性和资源可见性 (proc容器与宿主机之间是共享的 没有进行隔离)

  此rpm包在真机桌面q目录中  需先传到虚拟机/root/下 在进行安装

  把宿主机 /var/lib/lxcfs/proc/目录下生成的6个文件挂接到容器内 底层用cgroup来做资源控制,通过lxcfs实现隔离 给内存256M 此时我们看到的宿主机内存也是256M

2、 设置特权级运行的容器:--privileged=true

  有的时候我们需要容器具备更多的权限,比如操作内核模块,控制swap交换分区,挂载USB磁盘,修改MAC地址等。

  root用户在容器内不能宕掉某个设备 权限受限是因为安全原因在容器内降低了root用户的权限

  加上--privileged=true 就会在容器内执行root用户的权限 就可以宕掉或开启某个设备 ( 权限全开,近乎root)

3、设置容器白名单:--cap-add

  --privileged=true 的权限非常大,接近于宿主机的权限,为了防止用户的滥用,需要增加限制,只提供给容器必须的权限。此时Docker 提供了权限白名单的机制,使用--cap-add添加必要的权限。

  capabilities手册地址:

  http://man7.org/linux/man-pages/man7/capabilities.7.html

  # docker run -it --cap-add=NET_ADMIN --name vm1 ubuntu

  # docker inspect -f {{.HostConfig.Privileged}} vm1 false

  # docker inspect -f {{.HostConfig.CapAdd}} vm1 {[NET_ADMIN]}

  如果设置特权级运行的容器:--privileged=true 可以查到磁盘设备

 

 

安全加固的思路

保证镜像的安全

使用安全的基础镜像

删除镜像中的setuid和setgid权限

启用Docker的内容信任(镜像签名)

最小安装原则 对镜像进行安全漏洞扫描,镜像安全扫描器:Clair

容器使用非root用户运行(尽量用普通用户运行)

保证容器的安全

对docker宿主机进行安全加固

限制容器之间的网络流量

配置Docker守护程序的TLS身份验证

启用用户命名空间支持(userns-remap)

限制容器的内存使用量

适当设置容器CPU优先级

docker安全的遗留问题

主要的内核子系统都没有命名空间,如:

SELinux

cgroup

在/sys下的文件系统

/proc/sys, /proc/sysrq-trigger, /proc/irq, /proc/bus

设备没有命名空间:

/dev/mem

/dev/sd*文件系统设备

内核模块



posted @ 2022-08-05 17:30  木易-故事里的人  阅读(514)  评论(0编辑  收藏  举报