1.Docker安全
Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面:
Linux内核的命名空间机制提供的容器隔离安全
Linux控制组机制对容器资源的控制能力安全。
Linux内核的能力机制所带来的操作权限安全
Docker程序(特别是服务端)本身的抗攻击性。
其他安全增强机制对容器安全性的影响。命名空间隔离的安全:
当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。与虚拟机方式相比,通过Linux namespace来实现的隔离不是那么彻底。在 Linux 内核中,有很多资源和对象是不能被 Namespace 化的,比如:时间。
控制组资源控制的安全:
当docker run启动一个容器时,Docker将在后台为容器创建一个独立的控制组策略集合。
Linux Cgroups提供了很多有用的特性,确保各容器可以公平地分享主机的内存、CPU、磁盘IO等资源。
确保当发生在容器内的资源压力不会影响到本地主机系统和其他容器,它在防止拒绝服务攻击(DDoS)方面必不可少。内核能力机制:
能力机制(Capability)是Linux内核一个强大的特性,可以提供细粒度的权限访问控制。
大部分情况下,容器并不需要“真正的”root权限,容器只需要少数的能力即可。
默认情况下,Docker采用“白名单”机制,禁用“必需功能”之外的其他权限。Docker服务端防护:
使用Docker容器的核心是Docker服务端,确保只有可信的用户才能访问到Docker服务。
将容器的root用户映射到本地主机上的非root用户,减轻容器和主机之间因权限提升而引起的安全问题。
允许Docker 服务端在非root权限下运行,利用安全可靠的子进程来代理执行需要特权权限的操作。这些子进程只允许在特定范围内进行操作。其他安全特性:
在内核中启用GRSEC和PAX,这将增加更多的编译和运行时的安全检查;并且通过地址随机化机制来避免恶意探测等。启用该特性不需要Docker进行任何配置。
使用一些有增强安全特性的容器模板。
用户可以自定义更加严格的访问控制机制来定制安全策略。
在文件系统挂载到容器内部时,可以通过配置只读模式来避免容器内的应用通过文件系统破坏外部环境,特别是一些系统运行状态相关的目录。2.容器资源控制
Linux Cgroups 的全称是 Linux Control Group。
我们只能限制一个进程使用的资源上限:包括 CPU、内存、磁盘、网络带宽等等。
Linux Cgroups 给用户暴露出来的操作接口是文件系统。
它以文件和目录的方式组织在操作系统的 /sys/fs/cgroup 路径下。
在 /sys/fs/cgroup 下面有很多诸如 cpuset、cpu、 memory 这样的子目录,也叫子系统。
在每个子系统下面,为每个容器创建一个控制组(即创建一个新目录)。
控制组下面的资源文件里填上什么值,就靠用户执行 docker run 时的参数指定。
2.1.内存限制
容器可用内存包括两个部分:物理内存和swap交换分区。
进入容器限制目录,查看内存限制,与本机一致,是继承本机的限制
容器限制目录
docker run --help |grep mem ##查看docker run用于内存限制的用法docker run -it --memory 200M -d --name demo nginx ##限制内存大小为200M拉起容器
cd /sys/fs/cgroup/memory/docker/
查看内存最大限制为200M
cat memory.limit_in_bytes
cat memory.memsw.limit_in_bytes
导入stress :一个小型的Linux发行版,可以直接在可启动光盘中运行或者通过PXE。
docker load -i stress.tar
docker tag reg.westos.org/library/stress.latest stress:latest
docker rmi reg.westos.org/library/stress我们专门创建一个用来测试内存的目录x1
cd /sys/fs/cgroup/memory
mkdir x1
cd x1/
ls (他会直接继承上级目录下的所有文件)
然后我们限制上传的内存最大为200M
echo 209715200 > memory.limit_in_bytes下载libcgroup-tools工具
yum install -y libcgroup-tools.x86_64cd /dev/shm/
cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=100
cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=300 #都成功
所以当我们把swap分区关闭,测试300M空间就会失败
但是在实际生产中,swap分区会使用,不能够关闭
rm -f bigfile
cd /sys/fs/cgroup/memory/x1
echo 209715200 > memory.memsw.limit_in_bytes %内存+swap一共给200M所以我们需要寻找别的方法来解决刚刚的问题
我们可以把200M的限制给内存+swap一共200M
cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=300
可以看到创建300M空间直接失败
2.2.CPU限制
cpu.shares代表文件的优先级
cpu.cfs_period_us,表示总量,总数是100000。它是CFS算法的一个调度周期,一般值是 100000十万,单位是微秒,就是 100ms
cpu.cfs_quota_us,它表示CFS算法中,在一个调度周期里这个控制组被允许的运行时间,比如这个值为 50000时,就是 50ms。
如果用这个值cpu.cfs_quota_us除以调度周期cpu.cfs_period_us,50ms/100ms=0.2,表示这个控制组被允许使用的CPU最大配额就是0.2个CPU
docker run -it --cpu-quota 20000 --rm stress -c 2如图
2.3.Block IO限制(磁盘IO)
–device-write-bps限制写设备的bps
目前的block IO限制只对direct IO有效。(不使用文件缓存)
docker run -it --rm --device-write-bps /dev/vda:30MB ubuntu
dd if=/dev/zero of=bigfile bs=1M count=200 oflag=direct
加上oflag=direct参数速度为30MB左右,不加参数速度为2G
3.docker安全加固
3.1利用LXCFS增强docker容器隔离性和资源可见性
yum install lxcfs-2.0.5-3.el7.centos.x86_64.rpm -y
lxcfs /var/lib/lxcfs & ##运行
docker run -it --memory 256M -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw -v /var/lib/lxcfs/proc/stat:/proc/stat:rw -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw ubuntufree -m
可以看到mem和swap的大小一致
当运行一个普通的容器时 发现控制网络的时候被拒绝了 也就是说我们的权限不够
3.2.设置特权级运行的容器
–privileged=true
有的时候我们需要容器具备更多的权限,比如操作内核模块,控制swap交换分区,挂载USB磁盘,修改MAC地址等。
docker run -it --rm --privileged=true busyboxplus
ip link set down eth0
成功。
3.2.1设置容器白名单
由于添加参数–privileged=true后权限过大,所以可以通过容器权限白名单来限制权限
–cap-add=NET_ADMIN表示将网络操作的权限放入白名单,用户只可以进行网络操作
3.3使用用户命名空间隔离容器
Linux 命名空间为运行中的进程提供了隔离,限制他们对系统资源的访问,而进程没有意识到这些限制。有关 Linux 命名空间的更多信息,请参阅 Linux 命名空间。
防止容器内的特权升级攻击的最佳方法是将容器的应用程序配置为作为非特权用户运行。对于其进程必须作为容器中的 root 用户运行的容器,可以将此用户重新映射到 Docker 主机上权限较低的用户。映射的用户被分配了一系列 UID,这些 UID 在命名空间内作为从 0 到 65536 的普通 UID 运行,但在主机上没有特权。
步骤:
停掉docker
systemctl stop docker
systemctl stop docker.socket添加一个新用户
useradd devops
passwd devops
yum update shadow-utils-4.1.5.1-25.el7.x86_64 系统自带的版本太低需要更新
vi /etc/subuid
devops:10000:65536vi /etc/subgid
devops:10000:65536ssh devops@localhost 进入用户
dockerd-rootless-setuptool.sh install
发现报错 安装提示操作
exit
vi /etc/sysctl.d/99-sysctl.conf
user.max_user_namespaces = 28633sysctl --system
ssh devops@localhost
dockerd-rootless-setuptool.sh install
vi .bashrc
export PATH=/usr/bin:$PATH
export DOCKER_HOST=unix:///run/user/1001/docker.socksource .bashrc
dockerd-rootless.sh
修改配置
dockerd-rootless.sh --storage-driver=vfs &ps ax
启动成功
3.4安全加固思路
保证镜像的安全
使用安全的基础镜像
删除镜像中的setuid和setgid权限
启用Docker的内容信任
最小安装原则
对镜像进行安全漏洞扫描,镜像安全扫描器:Clair
容器使用非root用户运行
保证容器的安全
对docker宿主机进行安全加固
限制容器之间的网络流量
配置Docker守护程序的TLS身份验证
启用用户命名空间支持(userns-remap)
限制容器的内存使用量
适当设置容器CPU优先级
