一、Docker安全
Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面
- Linux内核的命名空间机制提供的容器隔离安全
- Linux控制组机制对容器资源的控制能力安全
- Linux内核的能力机制所带来的操作权限安全
- Docker程序(特别是服务端)本身的抗攻击性
- 其他安全增强机制对容器安全性的影响。
命名空间隔离的安全
当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。与虚拟机方式相比,通过Linux namespace来实现的隔离不是那么彻底。在 Linux 内核中,有很多资源和对象是不能被 Namespace 化的
控制组资源控制的安全
- 当docker run启动一个容器时,Docker将在后台为容器创建一个独立的控制组策略集合。
- Linux Cgroups提供了很多有用的特性,确保各容器可以公平地分享主机的内存、CPU、磁盘IO等资源
- 确保当发生在容器内的资源压力不会影响到本地主机系统和其他容器,它在防止拒绝服务攻击(DDoS)方面必不可少
内核能力机制
- 能力机制(Capability)是Linux内核一个强大的特性,可以提供细粒度的权限访问控制。
- 大部分情况下,容器并不需要“真正的”root权限,容器只需要少数的能力即可。
- 默认情况下,Docker采用“白名单”机制,禁用“必需功能”之外的其他权限。
Docker服务端防护
- 使用Docker容器的核心是Docker服务端,确保只有可信的用户才能访问到Docker服务。
- 将容器的root用户映射到本地主机上的非root用户,减轻容器和主机之间因权限提升而引起的安全问题。
- 允许Docker 服务端在非root权限下运行,利用安全可靠的子进程来代理执行需要特权权限的操作。这些子进程只允许在特定范围内进行操作。
其他安全特性
- 在内核中启用GRSEC和PAX,这将增加更多的编译和运行时的安全检查;并且通过地址随机化机制来避免恶意探测等。启用该特性不需要Docker进行任何配置。
- 使用一些有增强安全特性的容器模板。
- 用户可以自定义更加严格的访问控制机制来定制安全策略。
- 在文件系统挂载到容器内部时,可以通过配置只读模式来避免容器内的应用通过文件系统破坏外部环境,特别是一些系统运行状态相关的目录。
二、Docker容器资源控制
1.内存限制,
进入容器限制目录,查看内存限制,与本机一致,进入子进程目录
cd /sys/fs/cgroup/memory/docker/
cd e904c17d2118735b4014e33a603d49cab7db4d20a314cbed60c996d258dac7ebcat memory.limit_in_bytes
查看内存最大限制,进入上一条目录,查看主机内存最大限制
cat memory.limit_in_bytes
cd ..
cat memory.limit_in_bytes
限制内存大小为200M拉起容器,进入容器进程目录,查看限制文件
docker run -m 200M -d --name demo nginx
cd 07d73b57c1e38cca49135fb561ec04ad48dc1542166893d03173605b568c9a2a
cat memory.limit_in_bytes
/dev/shm/是一个在内存中的目录,在此目录/dev/shm/中创建文件会占用内存
cd /dev/shm/
free -m
dd if=/dev/zero of=bigfile bs=1M count=100
free -m
创建新的项目x1的限制目录,会自动继承主机的限制文件,限制x1内存最大为200M
cd /sys/fs/cgroup/memory/
mkdir x1
echo 209715200 > memory.limit_in_bytes
cat memory.limit_in_bytes
进入内存中的目录/dev/shm/,安装cgroup操作命令模块
cd /dev/shm/
yum search cgroup
yum install -y libcgroup-tools.x86_64
cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=100
cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=300
删除测试文件,关闭swap分区,限制成功
rm -f bigfile
swapoff -a
cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=300
swap分区别的应用也会用,无法关闭,所以需要限制内存和swap分区共同的大小
swapon -a
swapon -s
rm -f bigfile
cd /sys/fs/cgroup/memory/x1
echo 209715200 > memory.memsw.limit_in_bytes再次进入/dev/shm目录中
2.cpu限制
进入cpu限制目录,创建新的项目x2
cd /sys/fs/cgroup/cpu
mkdir x2
cd x2查看进程优先级,重新给定优先级,需要将进程加入tasks才生效,创建两个进程
cat cpu.shares
echo 100 > cpu.shares
dd if=/dev/zero of=/dev/null &
dd if=/dev/zero of=/dev/null &
top
将进程号写入tasks,top查看进程,使用cpu0
echo 16487 > tasks
top
恢复进程优先级
cd /sys/fs/cgroup/cpu/x2/
echo 1024 > cpu.shares
top显示进程分配cpu,显示进程cpu总配额,给定1/5的配额
cat cpu.cfs_quota_us
cat cpu.cfs_period_us
echo 20000 > cpu.cfs_quota_us
cat cpu.cfs_quota_us
top可以看到 一个进程是另一进程的1/5
3.block io限制
拉起容器,限制IO速率为30M
docker run -it --rm --device-write-bps /dev/vda:30MB nginx bash
dd if=/dev/zero of=bigfile bs=1M count=300 oflag=direct
dd if=/dev/zero of=bigfile bs=1M count=300
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
