热门标签
热门文章
- 1浅谈生成式人工智能_浅谈生成式人工智能:原理、应用与发展2500字
- 2大数据基础知识-Hadoop、HBase、Hive一篇搞定_hive hadoop
- 3Mybatis_plus 类型装换 UUID JSON_uuid typehandler
- 4VSCode + 配置参数详解(go, php + yii,python依赖包无法断点)_vscode yii
- 5RabbitMQ集群搭建_rabbitmq 3.8.8 quorum queues
- 690后被裁员、再入职阿里年薪50万:为什么我劝你早点学会这项技能_阿里c员完再入职的会不会是这样的:50woffer入职阿里。拿到杭州市e类人才认证
- 7在mac中卸载Tuxera NTFS后还会提示“试用期已过”弹窗解决_mac接优盘弹出tuxera ntfs过期
- 8限时免费开放AI绘画功能!快拉上小伙伴们来免费体验MJ绘画及更多AI功能!_聚力ai助手网站没有了
- 9PowerInfer-2:智能手机上的大语言模型快速推理_大模型 gate up down矩阵
- 10计算机视觉方向相关论文下载_计算机视觉会议文献出版社怎么找
当前位置: article > 正文
Docker( 八)docker的安全以及安全加固_docker安全性
作者:笔触狂放9 | 2024-07-13 06:22:01
赞
踩
docker安全性
一.基础知识
1.Docker容器的安全性,很大程度上依赖于Linux系统自身,评
估Docker的安全性时,主要考虑以下几个方面:
- Linux内核的命名空间机制提供的容器隔离安全
- Linux控制组机制对容器资源的控制能力安全。
- Linux内核的能力机制所带来的操作权限安全
- Docker程序(特别是服务端)本身的抗攻击性。
- 其他安全增强机制对容器安全性的影响。
2.命名空间隔离的安全
- 当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命 名空间。命名空间提供了最基础也最直接的隔离。
- 与虚拟机方式相比,通过Linux namespace来实现的隔离不是那么彻底。
- 容器只是运行在宿主机上的一种特殊的进程,那么多个容器之间使用的就还是同一个宿主机的操作系统内核。
- 在 Linux 内核中,有很多资源和对象是不能被 Namespace 化的,比如:时 间。
3.控制组资源控制的安全
- 当docker run启动一个容器时,Docker将在后台为容器创建一个独 立的控制组策略集合。
- Linux Cgroups提供了很多有用的特性,确保各容器可以公平地分 享主机的内存、CPU、磁盘IO等资源。
- 确保当发生在容器内的资源压力不会影响到本地主机系统和其他 容器,它在防止拒绝服务攻击(DDoS)方面必不可少。
4.内核能力机制
- 能力机制(Capability)是Linux内核一个强大的特性,可以提供细 粒度的权限访问控制。
- 大部分情况下,容器并不需要“真正的”root权限,容器只需要 少数的能力即可。
- 默认情况下,Docker采用“白名单”机制,禁用“必需功能”之外的其他权限。
5.Docker服务端防护
- 使用Docker容器的核心是Docker服务端,确保只有可信的用户才 能访问到Docker服务。
- 将容器的root用户映射到本地主机上的非root用户,减轻容器和 主机之间因权限提升而引起的安全问题。
- 允许Docker 服务端在非root权限下运行,利用安全可靠的子进程 来代理执行需要特权权限的操作。这些子进程只允许在特定范围内进行操作。
6.其他安全特性
- 在内核中启用GRSEC和PAX,这将增加更多的编译和运行时的安 全检查;并且通过地址随机化机制来避免恶意探测等。启用该特性不需要Docker进行任何配置。
- 使用一些有增强安全特性的容器模板。
- 用户可以自定义更加严格的访问控制机制来定制安全策略。
- 在文件系统挂载到容器内部时,可以通过配置只读模式来避免容 器内的应用通过文件系统破坏外部环境,特别是一些系统运行状 态相关的目录。
二.系统基础安全实验
1.docker与系统共享内核并且会在宿主机上产生相应的进程
[root@server1 ~]# docker run -it --name vm1 ubuntu root@f1c5528bcddb:/# ls bin dev home lib64 mnt proc run srv tmp var boot etc lib media opt root sbin sys usr root@f1c5528bcddb:/# free -m total used free shared buffers cached Mem: 992 442 550 12 0 257 -/+ buffers/cache: 184 808 Swap: 2047 0 2047 [root@server1 ~]# docker inspect vm1 | grep Pid "Pid": 3435, "PidMode": "", "PidsLimit": 0, [root@server1 ~]# cd /proc/3435 [root@server1 3435]# ls attr environ mem pagemap stat autogroup exe mountinfo personality statm auxv fd mounts projid_map status cgroup fdinfo mountstats root syscall clear_refs gid_map net sched task cmdline io ns schedstat timers comm limits numa_maps sessionid uid_map coredump_filter loginuid oom_adj setgroups wchan cpuset map_files oom_score smaps cwd maps oom_score_adj stack [root@server1 3435]# cd ns/ [root@server1 ns]# ll total 0 lrwxrwxrwx 1 root root 0 Aug 7 09:51 ipc -> ipc:[4026532227] lrwxrwxrwx 1 root root 0 Aug 7 09:51 mnt -> mnt:[4026532225] lrwxrwxrwx 1 root root 0 Aug 7 09:50 net -> net:[4026532230] lrwxrwxrwx 1 root root 0 Aug 7 09:51 pid -> pid:[4026532228] lrwxrwxrwx 1 root root 0 Aug 7 09:51 user -> user:[4026531837] lrwxrwxrwx 1 root root 0 Aug 7 09:51 uts -
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
2.cgroup
查看cgroup服务路径
[root@server1 ~]# mount -t cgroup
- 1
- 2
依次查看cpu,内存和容器的目录下的文件
注意:cgroup目录下有对容器进行相应的限制的参数,如cpu,memory等,新建的容器的id会出现在相应限额的docker的目录下,在memory目录下新建目录时直接会从上级目录继承.
查看内存,发现没有限制
在linux系统中可以通过修改/etc/security/limits.conf文件来限制cpu内存
[root@server1 ~]# cd /etc/security/limits.d/
[root@server1 limits.d]# ls
20-nproc.conf
[root@server1 limits.d]# vim /etc/security/limits.conf
- 1
- 2
- 3
- 4
三.对cpu进行资源限制
1.cpu独占
[root@server1 ~]# cd /sys/fs/cgroup/cpu [root@server1 cpu]# mkdir x1 [root@server1 cpu]# cd x1/ [root@server1 x1]# ls cgroup.clone_children cpu.cfs_quota_us cgroup.event_control cpu.rt_period_us cgroup.procs cpu.rt_runtime_us cpuacct.stat cpu.shares cpuacct.usage cpu.stat cpuacct.usage_percpu notify_on_release cpu.cfs_period_us tasks [root@server1 x1]# cat cpu.cfs_period_us 100000 ##限制的长度 [root@server1 x1]# cat cpu.cfs_quota_us -1 ##没有时间限制 [root@server1 x1]# dd if=/dev/zero of=/dev/null & ##占用cpu [1] 3951
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
[root@server1 x1]# top ##查看cpu的占有百分比(只有一个cpu)
- 1
若有两个cpu需要按下列操作:
[root@server1 x1]# cd /sys/devices/system/cpu/
[root@server1 cpu]# ls
[root@server1 cpu]# cd cpu0/
[root@server1 cpu]# echo 0 > online
[root@server1 cpu]# lscpu
- 1
- 2
- 3
- 4
- 5
注意:
1.cpu.cfs_period_us:cpu分配的周期(微秒),默认为100000。
2.cpu.cfs_quota_us:表示该control group限制占用的时间(微秒),默认为-1,表示不限制。如果设为50000,表示占用50000/100000=50%的CPU。
2.对cpu资源进行限制(docker容器)
1.清除之前创建的容器
[root@server1 ~]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
7c111fe00da9 ubuntu "/bin/bash" About an hour ago Up About an hour vm1
[root@server1 ~]# docker rm -f vm1
vm1
[root@server1 ~]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
、
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
2.对容器暂停,和解除暂停
[root@server1 ~]# cd /sys/fs/cgroup/ [root@server1 cgroup]# ls blkio cpu,cpuacct freezer net_cls perf_event cpu cpuset hugetlb net_cls,net_prio pids cpuacct devices memory net_prio systemd [root@server1 cgroup]# cd freezer/ [root@server1 freezer]# ls cgroup.clone_children cgroup.sane_behavior release_agent cgroup.event_control docker tasks cgroup.procs notify_on_release [root@server1 freezer]# cd docker/ [root@server1 docker]# ls cgroup.clone_children freezer.self_freezing cgroup.event_control freezer.state cgroup.procs notify_on_release freezer.parent_freezing tasks [root@server1 docker]# cat freezer.state THAWED ##显示开启状态
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
创建容器,并暂停
[root@server1 docker]# docker run -it --name vm1 ubuntu root@797f2da104ec:/# [root@server1 docker]# [root@server1 docker]# ls 797f2da104ecda43a84eb833d2ed49900e6c5216ad60497865c5d269bce4faf5 cgroup.clone_children cgroup.event_control cgroup.procs freezer.parent_freezing freezer.self_freezing freezer.state notify_on_release tasks [root@server1 docker]# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 797f2da104ec ubuntu "/bin/bash" 29 seconds ago Up 27 seconds vm1 [root@server1 docker]# docker container pause vm1 ##暂停容器vm1 vm1 [root@server1 docker]# cd 797f2da104ecda43a84eb833d2ed49900e6c5216ad60497865c5d269bce4faf5 [root@server1 797f2da104ecda43a84eb833d2ed49900e6c5216ad60497865c5d269bce4faf5]# ls cgroup.clone_children freezer.self_freezing cgroup.event_control freezer.state cgroup.procs notify_on_release [root@server1 797f2da104ecda43a84eb833d2ed49900e6c5216ad604978[root@server1 797f2da104ecda43a84eb833d2ed49900e6c5216ad60497865c5d269bce4faf5]# cat freezer.state FROZEN ##暂停状态
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
[root@server1 797f2da104ecda43a84eb833d2ed49900e6c5216ad60497865c5d269bce4faf5]# cat tasks
4382 ##进程id
[root@server1 797f2da104ecda43a84eb833d2ed49900e6c5216ad60497865c5d269bce4faf5]# ps ax ##进程4382显示暂停
- 1
- 2
- 3
打开暂停容器进程
[root@server1 797f2da104ecda43a84eb833d2ed49900e6c5216ad60497865c5d269bce4faf5]# docker container unpause vm1
vm1
[root@server1 797f2da104ecda43a84eb833d2ed49900e6c5216ad60497865c5d269bce4faf5]# cat freezer.state
THAWED
[root@server1 797f2da104ecda43a84eb833d2ed49900e6c5216ad60497865c5d269bce4faf5]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
797f2da104ec ubuntu "/bin/bash" 7 minutes ago Up 7 minutes vm1
[root@server1 797f2da104ecda43a84eb833d2ed49900e6c5216ad60497865c5d269bce4faf5]# cat tasks
4382
[root@server1 797f2da104ecda43a84eb833d2ed49900e6c5216ad60497865c5d269bce4faf5]# ps ax
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
设置swap和内存总共的大小(针对docker容器)
[root@server1 ~]# docker run -it --name vm1 --memory 300MB --memory-swap 300MB ubuntu
root@4057f95e93bf:/# free -m
total used free shared buffers cached
Mem: 992 442 550 12 0 261
-/+ buffers/cache: 179 813
Swap: 2047 0 2047
root@4057f95e93bf:/# [root@server1 ~]#
[root@server1 ~]# free -m
total used free shared buff/cache available
Mem: 992 133 558 12 300 695
Swap: 2047 0 204
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
安全加固
1.容器中的内存信息和主机中的内存信息
[root@server1 ~]# docker run -it --name vm1 --memory 300MB --memory-swap 300MB ubuntu
root@4057f95e93bf:/# free -m
total used free shared buffers cached
Mem: 992 442 550 12 0 261
-/+ buffers/cache: 179 813
Swap: 2047 0 2047
root@4057f95e93bf:/# [root@server1 ~]#
[root@server1 ~]# free -m
total used free shared buff/cache available
Mem: 992 133 558 12 300 695
Swap: 2047 0 2047
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
2.启用lxcfs
1.安装
[root@server1 ~]# ls
[root@server1 ~]# yum install lxcfs-2.0.5-3.el7.centos.x86_64.rpm -y
- 1
- 2
2.启用(按enter)
[root@server1 ~]# cd /var/lib/lxcfs/ [root@server1 lxcfs]# ls [root@server1 lxcfs]# lxcfs /var/lib/lxcfs/ & [2] 4802 [root@server1 lxcfs]# hierarchies: 0: fd: 5: freezer 1: fd: 6: memory 2: fd: 7: net_prio,net_cls 3: fd: 8: devices 4: fd: 9: blkio 5: fd: 10: perf_event 6: fd: 11: hugetlb 7: fd: 12: cpuacct,cpu 8: fd: 13: cpuset 9: fd: 14: pids 10: fd: 15: name=systemd [root@server1 lxcfs]#
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
3.启动lxcfs之后,会在/var/lib/lxcfs目录下生成两个目录
[root@server1 ~]# cd /var/lib/lxcfs/
[root@server1 lxcfs]# ls
cgroup proc
如果在/var/lib/lxcfs目录下启动的lxcfs,之后需要重新进入才可以看到新生成的目录
[root@server1 lxcfs]# ps ax | grep lxcfs
4802 pts/0 Sl 0:00 lxcfs /var/lib/lxcfs/
- 1
- 2
- 3
- 4
- 5
- 6
测试:
创建容器,限制内存发现限制成功
[root@server1 ~]# docker run -it --name vm1 --memory 300MB --memory-swap 300MB \
> -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
> -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
> -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
> -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
> -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
> ubuntu
- 1
- 2
- 3
- 4
- 5
- 6
- 7
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/笔触狂放9/article/detail/818008?site
推荐阅读
相关标签
