十九、ドッキングウィンドウのセキュリティ
Linuxのオペレーティングシステムレベルで実装さドッキングウィンドウの仮想化は、プロセスがローカルシステム上で実行されていると、コンテナで実行中のプロセスは、本質的に違いはありません、不適切なセキュリティポリシーは、ローカルシステムにリスクをもたらす可能性があります。
ドッキングウィンドウの安全性を評価する際に、セキュリティドッキングウィンドウコンテナは、Linuxシステム自体に依存して大きく、そう、主に以下の点を考慮してください。
1)安全な分離用容器を提供するために、Linuxカーネルの名前空間のメカニズム。
2)コンテナリソースのセキュリティを、Linuxの対照群機構制御。
3)能力システムのLinuxカーネルは、安全に動作する権限をもたらします。
4)攻撃に対するドッカープログラム(特にサーバー)自身が。
コンテナ・セキュリティのAppArmor、SELinuxの、等)への影響を含む5)他のセキュリティ強化機構(。
19.1名前空間セキュリティの分離
ドッカーLXCコンテナとコンテナは、実装に類似しており、提供されるセキュリティ機能は、基本的に同じです。ドッキングウィンドウの実行を持つコンテナを起動するとき、ドッキングウィンドウは、コンテナとしてバックグラウンドで別の名前空間を作成します。
名前空間は、最も基本的かつ最も直接的なアイソレーションを提供コンテナで実行中のプロセスは、通常のチャネルを通じて発見され、ローカルホストや他のコンテナ上で実行中のプロセスに影響を与えることはありません。
名前空間のメカニズムによって、各コンテナは、彼らが他のコンテナは、ソケットまたはソケット・インタフェースにアクセスすることができないことを意味し、独自のネットワークスタックを持っています。もちろん、コンテナは、それぞれのスイッチを行うには、ホスト・システムが提供される場合、コンテナはコンテナのような他のと同じホストと相互作用と相互作用することができる、ローカルホストのデフォルトのネットワークと通信することができます。出発容器、またはシステムに接続された共通ポートを指定すると、コンテナは、互いに(通信ポリシーの設定に応じて制限することができるユーザ)と通信することができます。
ネットワークアーキテクチャの観点から、すべてのコンテナは、実際には物理的なスイッチを介して通信などの物理マシンのように、ローカル・ホスト・ブリッジ・インターフェース(docker0)を介して互いに通信します。
19.2コントロールグループリソース制御セキュリティ
コントロールグループは、監査およびリソースの制約を実装するための責任があるのLinuxコンテナ機構のもう一つの重要な要素です。ドッキングウィンドウの実行を持つコンテナを起動するとき、ドッキングウィンドウは、バックグラウンドのコンテナ内のコントロールグループのポリシーの別のセットを作成します。
対照群機構は、多くの有用な機能を提供し、そして各容器の缶ホストメモリ、CPU、ディスクIOや他のリソースの公平な共有を確保する。もちろん、もっと重要なのは、確実にするために、対照群が発生している容器リソース内の圧力がない場合ローカルホストシステムと他のコンテナの効果。
対照群は、コンテナ、データ処理およびプロセス間の相互訪問を単離するための責任ではなかったが、それはサービスDDoS攻撃の拒否を防止することであるが必須です。特にマルチユーザプラットフォームでは、対照群には非常に重要です。例えば、いくつかの異常は、アプリケーションコンテナ内に発生し、ローカルシステムや他の容器影響を受けていない正常な動作を保証します。
19.3カーネルの能力システム
機能メカニズム(能力)は、Linuxカーネルの強力な機能である、それはファイングレイン・アクセス・コントロールを提供することができます。伝統的なUnix許可システムは、ルート権限(ユーザIDがrootユーザーであること、0である)および非ルート権限(ユーザーroot以外のユーザ)は、2つの種類を処理します。
Linuxカーネルバージョン2.2サポートしているので、よりきめ細かい権限運用能力に分割されます能力のメカニズムは、両方のプロセスに作用し、また文書に基づいて行動することができます。
デフォルトでは、スタートドッカーコンテナはchownコマンド、dac_override、fowner、キル、setgidされ、setpcap、net_bind_service、net_raw、sys_chroot、mknodを、setfcapなどaudit_write含めて、カーネルの一部のみを使用する能力を制限されています。
コンテナは、コンテナの能力はわずか数缶を必要とし、実際には「ルート」の権限を必要としません。セキュリティを強化するため、コンテナは不要な権限の一部を無効にすることができます。
1)任意のファイルの完全な禁止は操作をマウントします。
2)ローカルホストへ直接ソケットアクセスを禁止します。
3)このような新しいデバイスの作成など、いくつかのファイルのオペレーティングシステムへのアクセスを禁止するファイルの属性を変更します。
4)モジュールがロードされる禁止します。
デフォルトでは、より無効に他の機関に「ホワイトリスト」のメカニズムをドッキングウィンドウ「機能しなければなりません。」もちろん、ユーザーは自分のニーズに応じてコンテナドッカ追加の権限を有効にすることができます。
19.4ドッキングウィンドウサーバを保護
サーバーのセキュリティが非常に重要ですので、ファイル名を指定して実行]ドッキングウィンドウのサービスは現在、root権限のサポートを必要とします。
サービス側の保護を強化するために、ドッキングウィンドウのRESTAPI(インターフェースと通信するために、クライアントからサーバーへ)0.5.2 Unixソケットメカニズムは127.0.0.1 TCPソケットにバインドされたオリジナルを置き換えた後、地元を使用して後者は、クロスサイトスクリプティング攻撃に対して脆弱であるため。今すぐアクセスセキュリティチェックソケットを強化するためにUnixの権利を使用するユーザー。
現在、ドッキングウィンドウは、2つの重要なセキュリティ機能を実現するために、セキュリティの目的を改善します:
1)ローカルホスト上の非ルートユーザにルート・ユーザ・コンテナをマッピングするために、容器とホストとの間の緩和のセキュリティ問題は、管理者特権に起因します。
ドッキングウィンドウサーバが非ルート権限の下で実行できるように2)、操作を実行するための、安全で信頼性の高い子プロセスの使用は、プロキシ権限権限が必要です。子プロセスは、仮想ネットワークやファイルシステム管理、構成操作を設定するための唯一の責任が、例えば、限定された範囲内での動作が可能になります。
19.5その他の安全機能
能力のシステムに加えて、あなたはまた、ドッキングウィンドウの使用のセキュリティを強化するために、いくつかの既存のセキュリティソフトウェアまたはメカニズムを使用することができます。