Docker（八）---Docker安全_doker实现安全

一、理解docker安全

• Docker容器的安全性，很大程度上依赖于Linux系统自身，评估Docker的安全性时，主要考虑以下几个方面：
  • Linux内核的命名空间机制提供的容器隔离安全
  • Linux控制组机制对容器资源的控制能力安全。
  • Linux内核的能力机制所带来的操作权限安全
  • Docker程序（特别是服务端）本身的抗攻击性。
  • 其他安全增强机制对容器安全性的影响。

可以看到docker提供了6种命名空间：

• 命名空间隔离的安全
• 当docker run启动一个容器时，Docker将在后台为容器创建一个独立的命名空间。
  • 在 Linux 内核中，有很多资源和对象是不能被 Namespace 化的，比如：时间。 
  • 容器只是运行在宿主机上的一种特殊的进程，那么多个容器之间使用的就还是同一个宿主机的操作系统内核。
  • 与虚拟机方式相比，通过Linux namespace来实现的隔离不是那么彻底。
  • 命名空间提供了最基础也最直接的隔离。

• 控制组资源控制的安全
  • 当docker run启动一个容器时，Docker将在后台为容器创建一个独立的控制组策略集合。
  • Linux Cgroups提供了很多有用的特性，确保各容器可以公平地分享主机的内存、CPU、磁盘IO等资源。
  • 确保当发生在容器内的资源压力不会影响到本地主机系统和其他容器，它在防止拒绝服务攻击（DDoS）方面必不可少。

• 内核能力机制
  • 能力机制（Capability）是Linux内核一个强大的特性，可以提供细粒度的权限访问控制。
  • 大部分情况下，容器并不需要“真正的”root权限，容器只需要少数的能力即可。
  • 默认情况下，Docker采用“白名单”机制，禁用“必需功能”之外的其他权限。

• Docker服务端防护  
  • 使用Docker容器的核心是Docker服务端，确保只有可信的用户才能访问到Docker服务。
  • 将容器的root用户映射到本地主机上的非root用户，减轻容器和主机之间因权限提升而引起的安全问题。
  • 允许Docker 服务端在非root权限下运行，利用安全可靠的子进程来代理执行需要特权权限的操作。这些子进程只允许在特定范围内进行操作。

• 其他安全特性
  • 在内核中启用GRSEC和PAX，这将增加更多的编译和运行时的安全检查；并且通过地址随机化机制来避免恶意探测等。启用该特性不需要Docker进行任何配置。
  • 使用一些有增强安全特性的容器模板。
  • 用户可以自定义更加严格的访问控制机制来定制安全策略。
  • 在文件系统挂载到容器内部时，可以通过配置只读模式来避免容器内的应用通过文件系统破坏外部环境，特别是一些系统运行状态相关的目录。

二、容器资源控制

• Linux Cgroups 的全称是 Linux Control Group。
  • 是限制一个进程组能够使用的资源上限，包括 CPU、内存、磁盘、网络带宽等等。
  • 对进程进行优先级设置、审计，以及将进程挂起和恢复等操作。
• Linux Cgroups 给用户暴露出来的操作接口是文件系统。
  • 它以文件和目录的方式组织在操作系统的 /sys/fs/cgroup 路径下。
  • 执行此命令查看：mount -t cgroup

运行内存限额

我们启动一个容器并给它200M的运行内存：

但是我们看到的还是宿主机的内存量，是因为/proc 没有做隔离，我们查看的还是/proc/meminfo的信息：

 但是实际上200M内存对该容器已经生效了，只是我们看不到而已。

cgroup底层实现

 由于docker的资源限制是通过cgroup来实现的，我们可以查看cgroup：

 这就是启动的容器的内存相关目录。进去就可以看到内存为200M：

 所有容器资源限制的相关信息都在 /sys/fs/cgroup/memory/docker 此目录下，如果我们建立容器时不设置，那么docker内容器的目录内的文件都继承于/sys/fs/cgroup/memory/docker 内的其他文件。

在tasks中的进程都受此目录中的资源限制文件所约束：

可以看到运行容器的Pid就在tasks中。

除了内存我们也可以控制容器的CPU、设备：

 CPU限额

• docker run -it --cpu-period=100000 --cpu-quota=20000 ubuntu  
• cpu_period 和 cpu_quota 这两个参数需要组合使用，用来限制进程在长度为 cpu_period 的一段时间内，只能被分配到总量为 cpu_quota 的 CPU 时间，以上设置表示20%的cpu时间。

运行容器，设置CPU限制：

 可以看到CPU占用率已经设置为20%。

Block IO限制

• docker run -it --device-write-bps /dev/sda:30MB ubuntu
• --device-write-bps限制写设备的bps，即每秒的吞吐量
• 目前的block IO限制只对direct IO有效。（不使用文件缓存）

此处的设置只能走直连IO，所以我们用有dd命令的镜像（由于我们在虚拟机上运行容器，所以要用/dev/vda）：

可以看到我们设置每秒30M，150M用了差不多5S。当我们不加限制时：
 

三、docker安全加固（隔离）

之前我们没有办法做到完全隔离是因为/proc 中的资源，容器和宿主机之间是共享的，所以没有做隔离。我们通过一个第三方程序，可以做到隔离的效果（从阿里云下载即可）：

 启动并打入后台：

通过命令将宿主机的lxcfs的proc下文件挂接到容器中：

 

 此时我们查看给多少就是多少，就已经隔离开了。

 四、docker 特权

• 设置特权级运行的容器：--privileged=true
  • 有的时候我们需要容器具备更多的权限，比如操作内核模块，控制swap交换分区，挂载USB磁盘，修改MAC地址等。
  • # docker run -it --name vm1 ubuntu  bash

我们以超户身份进入容器，但是执行命令时还是没有权限：

这是因为在容器中超户的身份被降低了。

打开特权进入容器：

 可以看到没有报错且eth0已经被down掉了。此权限的意思是全开，即root用户可以做几乎任何事情，近乎超户。但是此种方式权力又给的太大了不安全，我们可以给白名单。

• 设置容器白名单：--cap-add --privileged=true 的权限非常大，接近于宿主机的权限，为了防止用户的滥用，需要增加限制，只提供给容器必须的权限。此时Docker 提供了权限白名单的机制，使用--cap-add添加必要的权限。
• capabilities手册地址： http://man7.org/linux/man-pages/man7/capabilities.7.html
  • # docker run -it --cap-add=NET_ADMIN --name vm1 ubuntu        
  • # docker inspect -f {{.HostConfig.Privileged}} vm1     false      
  • # docker inspect -f {{.HostConfig.CapAdd}} vm1     {[NET_ADMIN]}

给网络权限：

可以看到给了网络权限就能随意操作网络，但是没有别的权限。

• 安全加固的思路
  • 保证镜像的安全
    • 使用安全的基础镜像
    • 删除镜像中的setuid和setgid权限
    • 启用Docker的内容信任
    • 最小安装原则
    • 对镜像进行安全漏洞扫描，镜像安全扫描器：Clair
    •  容器使用非root用户运行 
  • 保证容器的安全
    • 对docker宿主机进行安全加固
    • 限制容器之间的网络流量
    • 配置Docker守护程序的TLS身份验证
    • 启用用户命名空间支持(userns-remap)
    • 限制容器的内存使用量
    • 适当设置容器CPU优先级