一、docker与虚拟机的差别
-
1、隔离与共享
每个虚拟机都有自己的系统内核
docker容器则是通过隔离的方式让容器之间相互影响,但是容器无法影响宿主机 -
2、性能与损耗
与虚拟机相比,容器的资源损耗要小的多
同样在宿主机之下,能够建立的容器数量要比虚拟机多
但是虚拟机的安全性要好于容器
二、docker的安全问题
-
1、Docker 自身漏洞
CVE官方记录docker历史版本共有超过20项漏洞。黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 Docker 版本更迭非常快,Docker 用户最好将 Docker 升级为 最新版本。
-
2、docker的源码问题
黑客上传恶意镜像
镜像使用有漏洞的软件
中间人攻击篡改镜像
三、docker的架构缺陷与安全机制
- 1、容器之间的局域网攻击
主机上的容器之间可以构成局域网,因此针对局域网的 ARP 欺骗、嗅探、广播风暴等攻击方式便可以用上。
所以,在一个主机上部署多个容器需要合理的配置网络,设置 iptable 规则。扫描二维码关注公众号,回复: 11166922 查看本文章
- 2、DDos攻击耗尽资源
Cgroups 安全机制就是要防止此类攻击的,不要为单一的容器分配过多的资源即可避免此类问题。
- 3、有漏洞的系统调用
Docker与虚拟机的一个重要的区别就是Docker与宿主机共用一个操作系统内核。
一旦宿主内核存在可以越权或者提权漏洞,尽管Docker使用普通用户执行,在容器被入侵时,攻击者还可以利用内核漏洞跳到宿主机做更多的事情。
- 4、共享root用户权限
如果以 root 用户权限运行容器,容器内的 root 用户也就拥有了宿主机的root权限.
四、容器最小化
如果仅在容器中运行必要的服务,像 SSH 等服务是不能轻易开启去连接容器的。通常使用以下方式来进入容器。
docker exec -it 容器ID号 bash
五、Docker api 访问控制
- Docker的远程调用 API 接口存在未授权访问漏洞,至少应限制外网访问。可以使用 Socket 方式访问。
监听内网 ip,docker daemon 启动方式如下
#修改docker的配置文件,实现socket访问
[root@master ~]# vim /usr/lib/systemd/system/docker.service
//修改
ExecStart=/usr/bin/dockerd -H unix:///var/run/docker.sock -H tcp://192.168.100.136:2375
#重启docker服务
[root@master ~]# systemctl daemon-reload
[root@master ~]# systemctl restart docker
[root@master ~]# netstat -natp | grep docker
tcp 0 0 192.168.100.136:2375 0.0.0.0:* LISTEN 15538/dockerd
#此时客户端访问docker,无法访问,需要设置防火墙规则才能访问
[root@client ~]# docker -H=tcp://192.168.100.136:2375 ps
#允许客户端通过192.168.100.131的2375端口访问docker
//source address是客户端地址
[root@master ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.100.131" port protocol="tcp" port="2375" accept"
success
[root@master ~]# firewall-cmd --reload #使设置的防火墙规则生效
success
六、限制流量流向
使用防火墙过滤器限制 Docker 容器的源 IP 地址范围与外界通讯。
[root@master ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.100.0/24" reject"
success
#add-rich-rule添加规则
#reject拒绝
#source address源地址为容器地址,出去的数据
[root@master ~]# firewall-cmd --reload #使设置的防火墙规则生效
success
[root@client ~]# docker -H=tcp://192.168.100.136:2375 ps
Cannot connect to the Docker daemon at tcp://192.168.100.136:2375. Is the docker daemon running?
#发现DROP规则是在INPUT链上做的,对docker容器流量流出没办法做限制,有很严重的安全隐患。
-
大量的问题是因为docker容器端口外放引起的漏洞,除了操作系统账户权限控制上的问题,更在于对docker daemon进程管理上存在隐患
-
目前常用的docker版本都支持docker daemon管理宿主机的iptables,而且一旦启动进程加上 -p host_port:guset_port的端口映射,Docker Daemon会直接增加对应的FORWARD chain并且-j ACCEPT,而默认的DROP规则是在INPUT链上做的,对docker没办法限制,这就留下了很严重的安全隐患。
建议如下:
①不在有外网的机器上使用docker服务
②使用k8s等docker编排系统管理docker容器
③宿主机上的Docker Daemon启动命令上加一个 --iptables=false,然后把常用的iptables写进入文件里,再用iptables-restore。手动添加规则。
七、镜像安全
-
Docker 镜像安全扫描,在镜像仓库客户端使用证书认证,对下载的镜像进行检查。
-
通过与 CVE 数据库同步扫描镜像,一旦发现漏洞则通知用户处理,或者直接阻止镜像继续构建。
-
如果公司使用的是自己的镜像源,可以跳过此步;否则,至少需要验证 baseimage 的 md5 等特征值,确认一致后再基于 baseimage 进一步构建。
-
一般情况下,要确保只从受信任的库中获取镜像,并且不建议使用–insecure-registry=[] 参数,推荐使用harbor私有仓库。