ker安全性分析

《ker安全性分析》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、—、在屯查Docker的安全时，需要考慮三个主要方面：界器内在的安全性，由内核命名空叫和cgroup屮实现；docker守护程序本身的攻击面；加固内核安伞特性，以及它们如何与容器中互动。Docker#•不足虚拟机，Docker本来的川法也不足虚拟机。普通的虚拟机租户root和宿主root是分开的，而Docker的租户root和宿主root是个root。一旦容器内的用户从普通用户权限提升为root权限，他就直接具备了宿主机的root权限，进而进行儿乎无限制的操作。这足因为Docker原本的川法足将进程之间进行隔离，为进程或进柷绀创逑隔离丌的运行空叫，目

2、的就是为了隔离科问题的疢用，而进程之I'⑷的限制就是通过namespace和cgroup来进行隔离与配额限制。每一个隔离!li来的进程组，对外就表现为一个container(容器)。在宿主机上可以看到全部的进程，每个容器内的进程实际上对拮主机来说是一个进程树。也就是说，Docker是让用户以为他们心据了全部的资源，从而给用户一个“虚拟机”的感觉。二、安全策略•SELinux或AppArmor通过访问控制的安全策略，可以配置Linux内核安全模块，如安全增强型Linux(SELinux)和AppArmor,从而实现强制性的访问控制(MAC)川以将进程约

3、束在一套奋限的系统资源或权限屮。如果先前已经女&并配置过SELinux,那么可以在容器使用setenforce1来启用仑。Docker守护进程的SELinux功能默认是禁用的，需要使用-selinux-enabled来启用。容器的标签限制可使用新增的一-security-opt加载SELinux或者AppArmor的策略进行配置，该功能在Docker版本1.3引入。例如：dockerrun-security-opt=secdriver:name:value-i-tcentosbash•namespaces和cgroupsDocker界器屮非常相似LX

4、C界器，它们都具脊炎似的安全功能。当以“dockerrun”启动一个界器，后台Docker为界器创建一组namespaces和cgroups。cgroups使用特定的命令行参数来启用一些资源限制，防止单一的容器用尽某个资源而使系统瘫痪：CPU：dockerrun-it-rm—cpuset=0,l-c2...内存：dockerrun-it--rm-m128m...存:docker-d-storage-optdm.basesize=5G磁盘I/O•挂载点使用原生容器库(如libcontainer)时，Docker会自动处理这项。但是，使用LXC容器库时,

5、敏感的挂载点最好以只读权限手动挂载，包括：/sys/proc/sys/proc/sysrq-trigger/proc/irq/proc/bus挂载权限应在之后移除，以防止重新挂载•Linux内核使用系统提供的更新工具（如apt-get、yum等）确保内核是最新的。过时的内核扣比已公开的漏洞危险性更人。使川GRSEC或PAX来强化内核，例如针对内存破坏漏洞提供更髙的安全性。•libseccomp（和seccomp-bpf扩展）libseccomp库允VT•基于G名単方法來限制Linux内核的系统调川祝序的使川。最好禁川受攻击界器屮对于系统操作不是很重要

6、的系统调用程序，以防止M:被滥用成误用。此功能目前正在开发中（LXC驱动中存在，但是现在默认的Hbcontainer中没冇）。使用LXC驱动程序［14］来重启Docker程序：docker-d-eIxc如何生成seccomp配®的说明都在GitHub仓库的“conthb”文件火。之后可川卜_面的命令來创建一个以LXC为基础的Docker容器：dockerrun--lxc-conf=,'lxc.seccomp=$file"

7、一override、fowner、kill、setgid、setuid、setpcap、net_bind_service、net_raw、sys_chroot、mknod、setfcap、和audit_write'。在命令行启动容器时，可以通过-cap-add=［］或--cap-dr叩=［】进行控制。例如：dockerrun-cap-dropsetuid--cap-dropsetgid-ti/bin/sh此功能在Docker1.2版本引入。•完全虚拟化使川一个完全虚拟化解决方案来界纳Docker，如KVM。如果祚器内的

8、内核漏洞被发现，这将防止其从容器扩大到宿主上。如同Docker-in-Docker工具所示，Docker镜像