Docker( 八)docker的安全以及安全加固
一.基础知识
1.Docker容器的安全性,很大程度上依赖于Linux系统自身,评
估Docker的安全性时,主要考虑以下几个方面:
- Linux内核的命名空间机制提供的容器隔离安全
- Linux控制组机制对容器资源的控制能力安全。
- Linux内核的能力机制所带来的操作权限安全
- Docker程序(特别是服务端)本身的抗攻击性。
- 其他安全增强机制对容器安全性的影响。
2.命名空间隔离的安全
- 当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命 名空间。命名空间提供了最基础也最直接的隔离。
- 与虚拟机方式相比,通过Linux namespace来实现的隔离不是那么彻底。
- 容器只是运行在宿主机上的一种特殊的进程,那么多个容器之间使用的就还是同一个宿主机的操作系统内核。
- 在 Linux 内核中,有很多资源和对象是不能被 Namespace 化的,比如:时 间。
3.控制组资源控制的安全
- 当docker run启动一个容器时,Docker将在后台为容器创建一个独 立的控制组策略集合。
- Linux Cgroups提供了很多有用的特性,确保各容器可以公平地分 享主机的内存、CPU、磁盘IO等资源。
- 确保当发生在容器内的资源压力不会影响到本地主机系统和其他 容器,它在防止拒绝服务攻击(DDoS)方面必不可少。
4.内核能力机制
- 能力机制(Capability)是Linux内核一个强大的特性,可以提供细 粒度的权限访问控制。
- 大部分情况下,容器并不需要“真正的”root权限,容器只需要 少数的能力即可。
- 默认情况下,Docker采用“白名单”机制,禁用“必需功能”之外的其他权限。
5.Docker服务端防护
- 使用Docker容器的核心是Docker服务端,确保只有可信的用户才 能访问到Docker服务。
- 将容器的root用户映射到本地主机上的非root用户,减轻容器和 主机之间因权限提升而引起的安全问题。
- 允许Docker 服务端在非root权限下运行,利用安全可靠的子进程 来代理执行需要特权权限的操作。这些子进程只允许在特定范围内进行操作。
6.其他安全特性
- 在内核中启用GRSEC和PAX,这将增加更多的编译和运行时的安 全检查;并且通过地址随机化机制来避免恶意探测等。启用该特性不需要Docker进行任何配置。
- 使用一些有增强安全特性的容器模板。
- 用户可以自定义更加严格的访问控制机制来定制安全策略。
- 在文件系统挂载到容器内部时,可以通过配置只读模式来避免容 器内的应用通过文件系统破坏外部环境,特别是一些系统运行状 态相关的目录。
二.系统基础安全实验
1.docker与系统共享内核并且会在宿主机上产生相应的进程
[root@server1 ~]# docker run -it --name vm1 ubunturoot@f1c5528bcddb:/# lsbin dev home lib64 mnt proc run srv tmp varboot etc lib media opt root sbin sys usrroot@f1c5528bcddb:/# free -mtotal used free shared buffers cachedMem: 992 442 550 12 0 257-/+ buffers/cache: 184 808Swap: 2047 0 2047[root@server1 ~]# docker inspect vm1 | grep Pid"Pid": 3435,"PidMode": "","PidsLimit": 0,[root@server1 ~]# cd /proc/3435[root@server1 3435]# lsattr environ mem pagemap statautogroup exe mountinfo personality statmauxv fd mounts projid_map statuscgroup fdinfo mountstats root syscallclear_refs gid_map net sched taskcmdline io ns schedstat timerscomm limits numa_maps sessionid uid_mapcoredump_filter loginuid oom_adj setgroups wchancpuset map_files oom_score smapscwd maps oom_score_adj stack[root@server1 3435]# cd ns/[root@server1 ns]# lltotal 0lrwxrwxrwx 1 root root 0 Aug 7 09:51 ipc -> ipc:[4026532227]lrwxrwxrwx 1 root root 0 Aug 7 09:51 mnt -> mnt:[4026532225]lrwxrwxrwx 1 root root 0 Aug 7 09:50 net -> net:[4026532230]lrwxrwxrwx 1 root root 0 Aug 7 09:51 pid -> pid:[4026532228]lrwxrwxrwx 1 root root 0 Aug 7 09:51 user -> user:[4026531837]lrwxrwxrwx 1 root root 0 Aug 7 09:51 uts -
2.cgroup
查看cgroup服务路径[root@server1 ~]# mount -t cgroup
依次查看cpu,内存和容器的目录下的文件
注意:cgroup目录下有对容器进行相应的限制的参数,如cpu,memory等,新建的容器的id会出现在相应限额的docker的目录下,在memory目录下新建目录时直接会从上级目录继承.
查看内存,发现没有限制
在linux系统中可以通过修改/etc/security/limits.conf文件来限制cpu内存
[root@server1 ~]# cd /etc/security/limits.d/[root@server1 limits.d]# ls20-nproc.conf[root@server1 limits.d]# vim /etc/security/limits.conf
三.对cpu进行资源限制
1.cpu独占
[root@server1 ~]# cd /sys/fs/cgroup/cpu[root@server1 cpu]# mkdir x1[root@server1 cpu]# cd x1/[root@server1 x1]# lscgroup.clone_children cpu.cfs_quota_uscgroup.event_control cpu.rt_period_uscgroup.procs cpu.rt_runtime_uscpuacct.stat cpu.sharescpuacct.usage cpu.statcpuacct.usage_percpu notify_on_releasecpu.cfs_period_us tasks[root@server1 x1]# cat cpu.cfs_period_us100000 ##限制的长度[root@server1 x1]# cat cpu.cfs_quota_us-1 ##没有时间限制[root@server1 x1]# dd if=/dev/zero of=/dev/null & ##占用cpu[1] 3951[root@server1 x1]# top ##查看cpu的占有百分比(只有一个cpu)
若有两个cpu需要按下列操作:
[root@server1 x1]# cd /sys/devices/system/cpu/[root@server1 cpu]# ls[root@server1 cpu]# cd cpu0/[root@server1 cpu]# echo 0 > online[root@server1 cpu]# lscpu
注意:
1.cpu.cfs_period_us:cpu分配的周期(微秒),默认为100000。
2.cpu.cfs_quota_us:表示该control group限制占用的时间(微秒),默认为-1,表示不限制。如果设为50000,表示占用50000/100000=50%的CPU。
2.对cpu资源进行限制(docker容器)
1.清除之前创建的容器
[root@server1 ~]# docker ps -aCONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES7c111fe00da9 ubuntu "/bin/bash" About an hour ago Up About an hour vm1[root@server1 ~]# docker rm -f vm1vm1[root@server1 ~]# docker ps -aCONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES、
2.对容器暂停,和解除暂停
[root@server1 ~]# cd /sys/fs/cgroup/[root@server1 cgroup]# lsblkio cpu,cpuacct freezer net_cls perf_eventcpu cpuset hugetlb net_cls,net_prio pidscpuacct devices memory net_prio systemd[root@server1 cgroup]# cd freezer/[root@server1 freezer]# lscgroup.clone_children cgroup.sane_behavior release_agentcgroup.event_control docker taskscgroup.procs notify_on_release[root@server1 freezer]# cd docker/[root@server1 docker]# lscgroup.clone_children freezer.self_freezingcgroup.event_control freezer.statecgroup.procs notify_on_releasefreezer.parent_freezing tasks[root@server1 docker]# cat freezer.stateTHAWED ##显示开启状态
创建容器,并暂停
[root@server1 docker]# docker run -it --name vm1 ubunturoot@797f2da104ec:/# [root@server1 docker]#[root@server1 docker]# ls797f2da104ecda43a84eb833d2ed49900e6c5216ad60497865c5d269bce4faf5cgroup.clone_childrencgroup.event_controlcgroup.procsfreezer.parent_freezingfreezer.self_freezingfreezer.statenotify_on_releasetasks[root@server1 docker]# docker psCONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES797f2da104ec ubuntu "/bin/bash" 29 seconds ago Up 27 seconds vm1[root@server1 docker]# docker container pause vm1 ##暂停容器vm1vm1[root@server1 docker]# cd 797f2da104ecda43a84eb833d2ed49900e6c5216ad60497865c5d269bce4faf5[root@server1 797f2da104ecda43a84eb833d2ed49900e6c5216ad60497865c5d269bce4faf5]# lscgroup.clone_children freezer.self_freezingcgroup.event_control freezer.statecgroup.procs notify_on_release[root@server1 797f2da104ecda43a84eb833d2ed49900e6c5216ad604978[root@server1 797f2da104ecda43a84eb833d2ed49900e6c5216ad60497865c5d269bce4faf5]# cat freezer.state FROZEN ##暂停状态[root@server1 797f2da104ecda43a84eb833d2ed49900e6c5216ad60497865c5d269bce4faf5]# cat tasks4382 ##进程id[root@server1 797f2da104ecda43a84eb833d2ed49900e6c5216ad60497865c5d269bce4faf5]# ps ax ##进程4382显示暂停
打开暂停容器进程
[root@server1 797f2da104ecda43a84eb833d2ed49900e6c5216ad60497865c5d269bce4faf5]# docker container unpause vm1vm1[root@server1 797f2da104ecda43a84eb833d2ed49900e6c5216ad60497865c5d269bce4faf5]# cat freezer.stateTHAWED[root@server1 797f2da104ecda43a84eb833d2ed49900e6c5216ad60497865c5d269bce4faf5]# docker psCONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES797f2da104ec ubuntu "/bin/bash" 7 minutes ago Up 7 minutes vm1[root@server1 797f2da104ecda43a84eb833d2ed49900e6c5216ad60497865c5d269bce4faf5]# cat tasks4382[root@server1 797f2da104ecda43a84eb833d2ed49900e6c5216ad60497865c5d269bce4faf5]# ps ax
设置swap和内存总共的大小(针对docker容器)
[root@server1 ~]# docker run -it --name vm1 --memory 300MB --memory-swap 300MB ubunturoot@4057f95e93bf:/# free -mtotal used free shared buffers cachedMem: 992 442 550 12 0 261-/+ buffers/cache: 179 813Swap: 2047 0 2047root@4057f95e93bf:/# [root@server1 ~]#[root@server1 ~]# free -mtotal used free shared buff/cache availableMem: 992 133 558 12 300 695Swap: 2047 0 204
安全加固
1.容器中的内存信息和主机中的内存信息
[root@server1 ~]# docker run -it --name vm1 --memory 300MB --memory-swap 300MB ubunturoot@4057f95e93bf:/# free -mtotal used free shared buffers cachedMem: 992 442 550 12 0 261-/+ buffers/cache: 179 813Swap: 2047 0 2047root@4057f95e93bf:/# [root@server1 ~]#[root@server1 ~]# free -mtotal used free shared buff/cache availableMem: 992 133 558 12 300 695Swap: 2047 0 2047
2.启用lxcfs
1.安装
[root@server1 ~]# ls[root@server1 ~]# yum install lxcfs-2.0.5-3.el7.centos.x86_64.rpm -y
2.启用(按enter)
[root@server1 ~]# cd /var/lib/lxcfs/[root@server1 lxcfs]# ls[root@server1 lxcfs]# lxcfs /var/lib/lxcfs/ &[2] 4802[root@server1 lxcfs]# hierarchies:0: fd: 5: freezer1: fd: 6: memory2: fd: 7: net_prio,net_cls3: fd: 8: devices4: fd: 9: blkio5: fd: 10: perf_event6: fd: 11: hugetlb7: fd: 12: cpuacct,cpu8: fd: 13: cpuset9: fd: 14: pids10: fd: 15: name=systemd[root@server1 lxcfs]#
3.启动lxcfs之后,会在/var/lib/lxcfs目录下生成两个目录
[root@server1 ~]# cd /var/lib/lxcfs/[root@server1 lxcfs]# lscgroup proc如果在/var/lib/lxcfs目录下启动的lxcfs,之后需要重新进入才可以看到新生成的目录[root@server1 lxcfs]# ps ax | grep lxcfs4802 pts/0 Sl 0:00 lxcfs /var/lib/lxcfs/
测试:
创建容器,限制内存发现限制成功
[root@server1 ~]# docker run -it --name vm1 --memory 300MB --memory-swap 300MB \> -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \> -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \> -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \> -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \> -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \> ubuntu
今天药忘吃喽~
喜欢ヅ旅行
àì夳堔傛蜴生んèń
忘是亡心i
╰+哭是因爲堅強的太久メ
朱雀![[亲测]java.sql.SQLException: Parameter number X is not an OUT parameter](https://image.dandelioncloud.cn/dist/img/NoSlightly.png "[亲测]java.sql.SQLException: Parameter number X is not an OUT parameter")
还没有评论,来说两句吧...