由于容器运行在主机上,且与主机共用一套内核,因此在容器的安全使用上会涉及到容器本身以及主机的安全加固,如针对系统调用,系统资源,远程访问等都需要进行安全方面的考量。

docker官网给出了简单的一些建议,如使用命名空间进行用户隔离,使用cgroup限制容器使用的资源上限,使用apparmor限制容器对资源的访问以及使用seccomp限制容器的系统调用等。但官方文档描述的场景比较简单,更多场景可以参考Dosec整理的Docker容器安全最佳实践白皮书V1.0,也可以微信关注公众号"Dosec"查看更多容器安全相关的文章。

下面简单了解下内核安全组件seccomp和apparmor

seccomp:

seccomp主要用于限制容器程序可以使用的系统调用,可以使用如下方式查看当前系统是否支持seccomp

#  grep CONFIG_SECCOMP= /boot/config-$(uname -r)

CONFIG_SECCOMP=y

seccomp使用profile 白名单机制来配置容器程序的权限,在运行容器时会使用默认配置,当然也可以使用--security-opt选项来覆盖默认的配置。seccomp默认情况下会block大约44个系统调用。使用docker info可以看到如下信息,默认会启动seccomp且使用默认profile

Security Options:

 seccomp

  Profile: default

下面为使用自定义profile文件testprofile.json替换默认profile的操作

# docker run -itd --security-opt seccomp=testprofile.json  busybox:latest /bin/sh

在docker的go源码中定义了seccomp支持的平台以及action和operation,源码总对seccomp的结构体定义如下,包含默认动作,使用的平台集以及系统调用集

// LinuxSeccomp represents syscall restrictions

type LinuxSeccomp struct {

    DefaultAction LinuxSeccompAction `json:"defaultAction"`

    Architectures []Arch             `json:"architectures,omitempty"`

    Syscalls      []LinuxSyscall     `json:"syscalls,omitempty"`

}

系统调用中包含系统调用的名称,动作和参数等

// LinuxSyscall is used to match a syscall in Seccomp

type LinuxSyscall struct {

    Names  []string           `json:"names"`

    Action LinuxSeccompAction `json:"action"`

    Args   []LinuxSeccompArg  `json:"args,omitempty"`

}

支持如下平台架构

const (

    ArchX86         Arch = "SCMP_ARCH_X86"

    ArchX86_64      Arch = "SCMP_ARCH_X86_64"

    ArchX32         Arch = "SCMP_ARCH_X32"

    ArchARM         Arch = "SCMP_ARCH_ARM"

    ArchAARCH64     Arch = "SCMP_ARCH_AARCH64"

    ArchMIPS        Arch = "SCMP_ARCH_MIPS"

    ArchMIPS64      Arch = "SCMP_ARCH_MIPS64"

    ArchMIPS64N32   Arch = "SCMP_ARCH_MIPS64N32"

    ArchMIPSEL      Arch = "SCMP_ARCH_MIPSEL"

    ArchMIPSEL64    Arch = "SCMP_ARCH_MIPSEL64"

    ArchMIPSEL64N32 Arch = "SCMP_ARCH_MIPSEL64N32"

    ArchPPC         Arch = "SCMP_ARCH_PPC"

    ArchPPC64       Arch = "SCMP_ARCH_PPC64"

    ArchPPC64LE     Arch = "SCMP_ARCH_PPC64LE"

    ArchS390        Arch = "SCMP_ARCH_S390"

    ArchS390X       Arch = "SCMP_ARCH_S390X"

    ArchPARISC      Arch = "SCMP_ARCH_PARISC"

    ArchPARISC64    Arch = "SCMP_ARCH_PARISC64"

)

下面的常量定义可以参见linux系统调用seccomp_rule_add

// Define actions for Seccomp rules

const (

    ActKill  LinuxSeccompAction = "SCMP_ACT_KILL"

    ActTrap  LinuxSeccompAction = "SCMP_ACT_TRAP"

    ActErrno LinuxSeccompAction = "SCMP_ACT_ERRNO"

    ActTrace LinuxSeccompAction = "SCMP_ACT_TRACE"

    ActAllow LinuxSeccompAction = "SCMP_ACT_ALLOW"

)
...

// Define operators for syscall arguments in Seccomp

const (

    OpNotEqual     LinuxSeccompOperator = "SCMP_CMP_NE"

    OpLessThan     LinuxSeccompOperator = "SCMP_CMP_LT"

    OpLessEqual    LinuxSeccompOperator = "SCMP_CMP_LE"

    OpEqualTo      LinuxSeccompOperator = "SCMP_CMP_EQ"

    OpGreaterEqual LinuxSeccompOperator = "SCMP_CMP_GE"

    OpGreaterThan  LinuxSeccompOperator = "SCMP_CMP_GT"

    OpMaskedEqual  LinuxSeccompOperator = "SCMP_CMP_MASKED_EQ"

)

apparmor:

apparmor使用上与seccomp类似,也是需要一个profile。apparmor也有一个默认的profile,相比seccomp,apparmor可以限制更多的资源,如文件权限,网络,capabilities等。

ubuntu下多个版本的apparmor手册可以参见AppArmor

SELinux:

  

TIPS:

  • 在run一个容器的时候,通过--security-opt seccomp:unconfined参数来允许容器执行全部的系统的调用
  • centos使用的安全模块为SELinux,暂不支持apparmor;Debian和Ubuntu支持apparmor

docker 安全的更多相关文章

  1. docker——容器安装tomcat

    写在前面: 继续docker的学习,学习了docker的基本常用命令之后,我在docker上安装jdk,tomcat两个基本的java web工具,这里对操作流程记录一下. 软件准备: 1.jdk-7 ...

  2. Docker笔记一:基于Docker容器构建并运行 nginx + php + mysql ( mariadb ) 服务环境

    首先为什么要自己编写Dockerfile来构建 nginx.php.mariadb这三个镜像呢?一是希望更深入了解Dockerfile的使用,也就能初步了解docker镜像是如何被构建的:二是希望将来 ...

  3. Docker 第一篇--初识docker

    已经多年不写博客, 看完<晓松奇谈>最后一期猛然觉醒, 决定仔细梳理下自己这几年的知识脉络. 既然决定写, 那么首先就从最近2年热门的开源项目Docker开始.Docker 这两年在国内很 ...

  4. 在docker中运行ASP.NET Core Web API应用程序(附AWS Windows Server 2016 widt Container实战案例)

    环境准备 1.亚马逊EC2 Windows Server 2016 with Container 2.Visual Studio 2015 Enterprise(Profresianal要装Updat ...

  5. docker for mac 学习记录

    docker基本命令 docker run -d -p 80:80 --name webserver nginx 运行容器并起别名 docker ps 展示目前启动的容器 docker ps -a 展 ...

  6. scrapy爬虫docker部署

    spider_docker 接我上篇博客,为爬虫引用创建container,包括的模块:scrapy, mongo, celery, rabbitmq,连接https://github.com/Liu ...

  7. [原][Docker]特性与原理解析

    Docker特性与原理解析 文章假设你已经熟悉了Docker的基本命令和基本知识 首先看看Docker提供了哪些特性: 交互式Shell:Docker可以分配一个虚拟终端并关联到任何容器的标准输入上, ...

  8. 开发者的利器:Docker 理解与使用

    困扰写代码的机器难免会被我们安装上各种各样的开发工具.语言运行环境和引用库等一大堆的东西,长久以来不仅机器乱七八糟,而且有些相同的软件还有可能会安装不同的版本,这样又会导致一个项目正常运行了,却不小心 ...

  9. 使用python自动生成docker nginx反向代理配置

    由于在测试环境上用docker部署了多个应用,而且他们的端口有的相同,有的又不相同,数量也比较多,在使用jenkins发版本的时候,不好配置,于是想要写一个脚本,能在docker 容器创建.停止的时候 ...

  10. 微服务与Docker介绍

    什么是微服务 微服务应用的一个最大的优点是,它们往往比传统的应用程序更有效地利用计算资源.这是因为它们通过扩展组件来处理功能瓶颈问题.这样一来,开发人员只需要为额外的组件部署计算资源,而不需要部署一个 ...

随机推荐

  1. 在python学习时间过程中,你会不断发现需要解决的问题,更多需要连接未知,这时候到哪里去查阅资料呢?

    1.safari online book https://www.safaribooksonline.com 知乎上有人问,送程序员什么礼物好,其中一个答案就是safari online.编程的英文书 ...

  2. zabbix邮件自动预警

    Zabbix报警 自定义脚本报警 报警大致过程 item数据采集--->触发器由阈值触发带级别的信息-->触发动作发送邮件预警 1. 发送邮件脚本 1)安装sendEmail(参考Linu ...

  3. Java第三次实验敏捷开发与XP实验

    实验三-1 1.实验要求: 实验三 敏捷开发与XP实践 http://www.cnblogs.com/rocedu/p/4795776.html, Eclipse的内容替换成IDEA 参考 http: ...

  4. AndroidStudio 3 export jar file

    1.  File -> New -> New Module -> Android Library  例子中暂命名ModuleA 2. 修改刚创建 ModuleA下的build.gra ...

  5. 实现一个jsp同时提交两个form到两个Servlet

    <%@ page contentType="text/html;charset=GBK" language="java"%> <html> ...

  6. 登录服务器失败 IP 统计和处理方法

    一.登录ssh失败次数统计 1)错误的打开方式 awk '/Failed password/ {print $(NF-3)}' secure |sort -n |uniq -c|sort -n |ta ...

  7. Linux连不上校园网怎么办?

    原本,在我们学校我只要连上WiFi打开浏览器, 它就会自动重定向到校园网登录的界面.但是今天浏览器并没有自己打开登录页面,一直在加载.于是我想直接登录路由器,在地址栏输入192.168.0.1,结果它 ...

  8. Java从无知到入门书籍推荐

    0 前言 本文主题为Java Web书籍推荐 1 零基础学习 此处的零基础,指的是不懂或只懂if-else之类基本代码流程.初次接触,建议淘宝买一套**培训机构录播课程,看入门段视频.一是学习之初培养 ...

  9. oracle数据库创建分区表

    参考资料:http://blog.chinaunix.net/uid-21943216-id-4062400.html 一.建按月自增分区表:1.1建表SQL> create table mon ...

  10. 网页中的数据的4个处理方式:CRUD(Creat, Retrive, Update, Delete)

    网页中的数据的4个处理方式:CRUD(Creat, Retrive, Update, Delete) 2018-12-21, 后续完善