【项目实战14】Docker6 容器安全性(图文详细解释)

原创 已于 2022-04-25 19:25:15 修改 · 1.9k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker

于 2021-07-27 23:29:23 首次发布
本文探讨Docker容器的安全性,包括Linux内核提供的隔离安全、资源控制安全、权限安全等,并介绍了如何设置内存、CPU及I/O资源限制,以及增强Docker容器安全性的多种方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Docker容器安全性

一、前言

一、简介

Docker容器的安全性,主要依赖于Linux系统自身,考虑Docker的安全性时,主要有:
Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面

1、Linux内核的命名空间机制提供的容器隔离安全
2、Linux控制组机制对容器资源的控制能力安全
3、Linux内核的能力机制所带来的操作权限安全
4、Docker程序(特别是服务端)本身的抗攻击性
5、其他安全增强机制对容器安全性的影响

1、命名空间隔离的安全

当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。
与虚拟机方式相比,通过Linux namespace来实现的隔离不是那么彻底。
容器只是运行在宿主机上的一种特殊的进程,那么多个容器之间使用的就还是同一个宿主机的操作系统内核。
在 Linux 内核中,有很多资源和对象是不能被 Namespace 化的,比如:时间。

2、控制组资源控制的安全

当docker run启动一个容器时,Docker将在后台为容器创建一个独立的控制组策略集合。
Linux Cgroups提供了很多有用的特性,确保各容器可以公平地分享主机的内存、CPU、磁盘IO等资源。
确保当发生在容器内的资源压力不会影响到本地主机系统和其他容器,它在防止拒绝服务攻击(DDoS)方面必不可少。

3、内核能力机制

能力机制(Capability)是Linux内核一个强大的特性,可以提供细粒度的权限访问控制。
大部分情况下,容器并不需要“真正的”root权限,容器只需要少数的能力即可。
默认情况下,Docker采用“白名单”机制,禁用“必需功能”之外的其他权限。

4、Docker服务端防护

使用Docker容器的核心是Docker服务端,确保只有可信的用户才能访问到Docker服务。
将容器的root用户映射到本地主机上的非root用户,减轻容器和主机之间因权限提升而引起的安全问题。
允许Docker 服务端在非root权限下运行,利用安全可靠的子进程来代理执行需要特权权限的操作。这些子进程只允许在特定范围内进行操作。

5、其他安全特性

在内核中启用GRSEC和PAX,这将增加更多的编译和运行时的安全检查;并且通过地址随机化机制来避免恶意探测等。启用该特性不需要Docker进行任何配置。
使用一些有增强安全特性的容器模板。
用户可以自定义更加严格的访问控制机制来定制安全策略。
在文件系统挂载到容器内部时,可以通过配置只读模式来避免容器内的应用通过文件系统破坏外部环境,特别是一些系统运行状态相关的目录。

————————————————
版权声明:本文为CSDN博主「是大姚呀」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_44310047/article/details/119084971

二、系统资源调节中心

Linux Cgroups 的全称是 Linux Control Group,在/sys/fs/cgroup中有许多的子目录,分别控制每个资源,/sys/fs/cgroup/memory/下的这些变量是是物理机全局的控制
在这里插入图片描述

二、内存Memory

一、内存的查看

1、查看进程文件
运行一个docker,其进程为4162
在这里插入图片描述
进入4162进程,可以查看到其下的多个文件
这个进程包括ns,mem等内容
在这里插入图片描述
2、查看内存
在/sys/fs/cgroup中有许多的子目录,分别控制每个资源,我们进入到memory文件夹下,看到docker目录
在这里插入图片描述
可以查看到刚才运行的进程
在这里插入图片描述
进入刚才建立的进程,查看内存限制
在这里插入图片描述
3、设置内存限制
新运行一个demo程序,使用-m进行内存限制。进入cggroup管理里面查看次进程的内存,发现内存被限制在了200M。
在这里插入图片描述

二、内存的限制

设置内存为200M,内存的单位是字节,故200x1024x1024=209715200
注意此部分只限制了内存,swap不会参与进来

[root@server1 memory] yum install libcgroup-tools.x86_64         下载管理资源的工具
[root@server1 memory] cd /sys/fs/cgroup/memory                   进入内存界面
[root@server1]memory] mkdir x1                                   创建x1新文件,其会继承父文件的内容
[root@server1 memory] cd x1/
[root@server1 x1]  ls    
[root@server1 x1] echo 209715200 > memory.limit_in_bytes         设置其内存为200M

在这里插入图片描述
切换到/dev/shm/目录下,该目录是一个在内存中的目录,向里面拷贝文件会直接占用内存

[root@server1 x1] cd /dev/shm/   进入此界面进行测试
[root@server1 shm] cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=100           制造一个一直占用内存的进程大小为100x1
[root@server1 shm] cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=200          制造一个一直占用内存的进程大小为200x1

结果如下:当内存超过或等于200M的时候直接杀死进程
在这里插入图片描述
测试完成后删除测试文件,否则会持续占用内存。

三、cpu的限制

一、第一种方法

在cup目录下新建下x2目录,控制cup的算力为原来的十分之一

[root@server1 ~] cd /sys/fs/cgroup/cpu
[root@server1 cpu] mkdir x2
[root@server1 cpu] cd x2                                        具有继承性,建立x2文件进行实验
[root@server1 x2] ls
cgroup.clone_children  cpuacct.usage_percpu  cpu.shares
cgroup.event_control   cpu.cfs_period_us     cpu.stat
cgroup.procs           cpu.cfs_quota_us      notify_on_release
cpuacct.stat           cpu.rt_period_us      tasks
cpuacct.usage          cpu.rt_runtime_us
[root@server1 x2] cat cpu.shares 
1024                                                            内存大小为1024
[root@server1 x2] echo 100 > cpu.shares                         给予100,约为cpu算力的百分之10

为做对比,制造出两个dd进程,将第二个进程的id写如cup控制目录
在这里插入图片描述
因为3702进程设置总的算力为100,3703并没有进行限制,因此结果发现cup使用率约为9:1
在这里插入图片描述
结束后fg唤回程序

二、第二种方法

cpu限制为十分之二
在这里插入图片描述
方法同上

[root@server1 x2] dd if=/dev/zero of=/dev/null &
[1] 3735
[root@server1 x2] echo 3735 > tasks 
[root@server1 x2] top

在这里插入图片描述

四、io

不使用文件缓存,直接用设备的输入输出
以rel7文件创建一个镜像,用–device-write-bps限制写设备的bps速度为30M。

docker run -it —rm -device-write-bps /dev/vda:30MB rel7 bash

在镜像里面的oflag=direct表示,不通过内存到io设备,直接接入io设备,此时可以看到用了6.6秒,如果没有这个oflag=direct参数,速度就很快。
在这里插入图片描述

五、安全加固

一、利用LXCFS增强docker容器隔离性和资源可见性

[root@server1 lxcfs] yum install -y lxcfs-2.0.5-3.el7.centos.x86_64.rpm 		%安装插件
[root@server1 lxcfs] lxcfs /var/lib/lxcfs & 									%运行
[root@server1 lxcfs] docker run  -it -m 256m \			%创建容器,内存限制为256MB
  
-v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
-v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
-v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
-v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
-v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
-v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
   ubuntu

结果显示总共只有256的内存
在这里插入图片描述

二、设置特权级运行的容器

不加–privileged=true这个参数,无法关闭eth0,加了–privileged=true这个参数后,就可以关闭了
在这里插入图片描述

三、设置容器白名单:–cap-add

但是上面是权限都给,有点不放心,我们想做到需要什么给什么,而不是直接都给。
加入–cap-add=NET_ADMIN这个参数,就可以控制网络ip的添加和删除了
在这里插入图片描述
没给权限则不能修改网络
在这里插入图片描述

四、其他安全加固的思路

使用安全的基础镜像
删除镜像中的setuid和setgid权限
启用Docker的内容信任
最小安装原则
对镜像进行安全漏洞扫描,镜像安全扫描器:Clair
容器使用非root用户运行

Docker项目实战】使用Docker部署公众号Markdown编辑器
jks212454的博客
03-04 349
Docker项目实战】使用Docker部署公众号Markdown编辑器
8.5 从零到生产:Docker+K8s+CI/CD全链路部署实战手册
yonggeit的博客
05-05 749
fill:#333;color:#333;color:#333;fill:none;Dockerfile构建镜像云平台部署生产环境运行CI/CD流水线:Docker容器化、云原生部署、CI/CD流水线、镜像构建、生产环境优化。
企业—Docker容器docker安全
weixin_44224288的博客
06-03 501
Docker容器安全性,很大程度上依赖于Linux系统自身,评估Docker安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全 Linux控制组机制对容器资源的控制能力安全。 Linux内核的能力机制所带来的操作权限安全 Docker程序(特别是服务端)本身的抗攻击性。 其他安全增强机制对容器安全性的影响。 一.docker安全简介 1.命名空间隔离的安全 ...
【Web安全笔记】之【11.0 其他】
AA8j的博客
12-23 5922
文章目录11.0 其他11.1 代码审计11.1.1 简介11.1.2 常用概念1. 输入2. 处理函数3. 危险函数11.1.3 自动化审计1. 危险函数匹配2. 控制流分析3. 基于图的分析4. 代码相似性比对5. 灰盒分析11.1.4 手工审计流程1. 获取代码,确定版本,尝试初步分析2. 基于审计工具进行初步分析3. 了解程序运行流程1) 文件加载方式2) 数据库连接方式3) 视图渲染4) SESSION处理机制5) Cache处理机制4. 账户体系1) Auth方式2) Pre-Auth的情况下可
Docker容器化:应用部署的最佳实践
最新发布
2501_92487436的博客
06-21 756
本文从容器化优势、部署流程、安全性和最佳实践等多个方面,详细阐述了Docker容器化在应用部署中的最佳实践。通过采用Docker容器化技术,企业可以确保环境一致性、提高资源利用率,并简化应用部署流程。同时,关注容器安全性和遵循最佳实践,可以降低潜在的安全风险。随着信息技术的发展,Docker容器化技术将继续演进,为应用部署带来更多便利和可能性。未来,我们可以期待更多的创新和实践,以推动容器化技术的广泛应用。在此过程中,本文的目的和重要性将得到进一步体现,为读者提供有价值的信息和指导。
Docker安全
weixin_51129538的博客
02-01 446
Docker容器安全性,很大程度上依赖于Linux系统自身,评估Docker安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全 Linux控制组机制对容器资源的控制能力安全。 Linux内核的能力机制所带来的操作权限安全 Docker程序(特别是服务端)本身的抗攻击性。 其他安全增强机制对容器安全性的影响。 命名空间隔离的安全 当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。 与虚拟机方式相比,通过
说到容器安全性,我觉得它就像三明治
weixin_33929309的博客
09-22 135
本文讲的是说到容器安全性,我觉得它就像三明治,【编者的话】作者Josh Bressers用生动的比喻把容器比做一个三明治,而容器安全则是隐藏在三明治里面不为人知的成分。选择一个安全可用的容器,就如同选择一个放心可吃的三明治一样。 在RSA会议上,当我正在谈论容器时忽然想到,我们可以认为容器就像一个三明治,不是说他们有多“好吃”,而是关注于你的容器...
Docker学习:容器五种(3+2)网络模式 | bridge模式 | host模式 | none模式 | container 模式 | 自定义网络模式详解
热门推荐
血煞长虹 的专栏
01-12 3万+
本讲是从Docker系列讲解课程,单独抽离出来的一个小节,重点介绍容器网络模式, 属于了解范畴,有助于更好的理解Docker容器之间的访问逻辑。 疑问:为什么要了解容器的网络模式? 前言 首先,容器之间虽然不是物理隔离,但是它们彼此之间默认是不互联互通的,这也有助于保持每个容器的纯粹性,相互之间互不影响。 其次,既然使用了容器,通常情况下,容器需要与宿主机通信,或者A容器与B容器通信而B不需要知道A的存在,或者A/B两容器相互通信。 从而,就引出了本节内容,他们相互通信,就绕不开容器的网络模式
Docker入门到实践:图文教程详解
8. **安全**:探讨Docker如何处理内核命名空间、控制组、服务端防护等安全性措施。 9. **Dockerfile**:介绍Docker构建镜像的自动化脚本,包括基本结构和常用指令。 10. **Docker Compose项目**: - i. 项目概述...
grpc、https、oauth2等认证专栏实战19:docker启动tls配置介绍
码二哥的技术池
01-16 723
4.3.1、第一步:生成服务器端密钥和服务器端证书签名 (非SAN类型,客户端不需要被访问,不需要添加额外的域名)等类似命令后,如果正常反馈,说明使用的就是/var/run/docker.sock文件进行通信的。将生成的客户端证书,客户端密钥,根证书通过某种方式,如scp命令,拷贝到客户端一侧。4  grpc、oauth2、openssl、双向认证、单向认证等专栏文章目录。但是,这种方式,每次执行都要指明证书路径,很麻烦,那么有没有默认加载的情况呢?4.3.2、第二步:根据CA证书,来颁发客户端证书。
Docker 安全
zoufuf666的博客
04-04 4664
容器安全容器安全的起源Docker 与虚拟机区别Docker容器存在的安全问题Docker engine安全镜像安全Linux 内核权限安全如何提高容器安全性保障镜像安全加强内核安全和管理使用安全容器 容器安全的起源 学习docker安全前,要了解Docker 是基于 Linux 内核的 Namespace 技术实现资源隔离的,所有的容器都共享主机的内核。这方面虚拟化和容器技术是有区别的,相对来讲虚拟机有着更好的隔离性和安全性,而容器的隔离性和安全性则相对较弱。 Docker 与虚拟机区别 虚拟机是通过
Docker-docker安全
weixin_66461008的博客
07-08 1675
1. 理解Docker安全1.1 Docker容器安全性,很大程度上依赖于Linux系统自身,评估Docker安全性时,主要考虑以下几个方面: • Linux内核的命名空间机制提供的容器隔离安全 • Linux控制组机制对容器资源的控制能力安全。 • Linux内核的能力机制所带来的操作权限安全 • Docker程序(特别是服务端)本身的抗攻击性。 • 其他安全增强机制对容器安全性的影响。1.2 命名空间隔离的安全
docker安装/简介
qq_45255414的博客
09-19 333
docker简介 docker理念 Docker是基于Go语言实现的云开源项目Docker的主要目标是“Build,Ship and Run Any App,Anywhere”,也就是通过对应用组件的封装、分发、部署、运行等生命周期的管理,使用户的APP(可以是一个WEB应用或数据库应用等等)及其运行环境能够做到“一次封装,到处运行”。 Docker 容器在任何操作系统上都是一致的,实现了跨平台、跨服务器。只需要一次配置好环境,换到别的机子上就可以一键部署好,大大简化了操作。 一句话:解决了
Docker安全管理
Parhoia的博客
01-07 963
Docker安全管理 Docker与虚拟机的区别 隔离与共享 虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立 虚拟机,每个虚拟机都有自己的系统内核 Docker 容器则是通过隔离的方式,将文件系 统、进程、设备、网络等资源进行隔离,再对权限、CPU 资源等进行控制,最终让容器之间互不影响, 容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资...
容器安全概述
悦分享
07-04 4597
Docker是目前最具代表性的容器技术之一,对云计算及虚拟化技术产生了颠覆性的影响。以Docker为代表的容器技术,直接运行于宿主机操作系统内核,因此对于容器安全,很多人会有着这样的疑问:EDR(Endpoint Detection and Response)等主机安全方案,能否直接解决容器安全的问题?概括来说,容器/容器云安全,可以包括以下四个类别:第一,就是容器环境基础设施的安全性,比如主机上的安全配置是否会影响到其上面运行的容器,主机上的安全漏洞是否会影响到容器,主机上的恶意进程是否会影响到容器容器
Docker……》笔记-9 Docker 安全
灰蜗牛
02-20 598
杨保华 戴王剑 曹亚伦.《Docker技术入门与实战》 〔M〕.机械工业出版社,2015年2月∶P233-237 第十九章 Docker安全 从命名空间、控制组、内核能力、服务端等角度剖析Docker目前保障安全的相关手段。
Docker系列】容器安全
柏杉的博客小屋
01-28 330
app 代码层面的漏洞 镜像 选择官方认证的基础镜像:要不随便使用其他镜像,可能会恶意植入程序。例如,挖矿程序。 镜像的漏洞扫描 容器 容器的漏洞扫描 容器的实时监控 主机 Linux Kernel Kernel namespaces Control groups Docker 配置扫描 Docker环境的安全检查 Docker Bench for Security: https://github.com/docker/docker-bench-security ‎Docker Bench f.
Docker实战:轻松实现项目容器化迁移
"Docker实战——项目容器化改造实战" Docker是一种流行的轻量级容器技术,它通过将应用程序及其依赖打包在可移植的容器中,实现了软件在不同环境下的无缝运行。这种技术允许开发人员在本地创建和测试容器,然后在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值