Docker 容器安全深度解析
1. 命名空间与容器隔离
命名空间是让容器看起来像容器的关键因素。通过nsenter命令,我们可以精确指定要进入的命名空间,甚至可以只进入临时容器命名空间的一部分来进行探索。结合 cgroups,命名空间能在同一内核上为进程提供较为强大的隔离。
2. 容器安全概述
容器在很多情况下可以替代虚拟机,但它的隔离性不如虚拟机。容器只是运行在 Docker 服务器上的进程,尽管命名空间提供了一定的隔离,但容器的安全性可能不如我们想象的高,这主要是因为容器共享 Docker 服务器的内核,而内核中并非所有内容都进行了命名空间化。
容器化应用比非容器化应用更安全,因为 cgroups 和标准命名空间提供了对主机核心资源的隔离。但我们不能将容器视为良好安全实践的替代品,应该像在生产系统中运行应用一样来运行容器。例如,如果应用传统上以非特权用户身份在服务器上运行,那么在容器中也应如此。使用dockerd命令的--userns - remap参数可以强制所有容器在主机系统上以非特权用户和组的上下文运行,从而保护主机免受各种潜在的安全漏洞攻击。
3. 常见安全风险与控制 - UID 0 风险
在容器中,除非使用 Docker 守护进程的userns - remap功能,否则容器内的 root 用户实际上就是系统的 root 用户。默认情况下,容器以 root 身份启动服务,这意味着我们需要像在任何 Linux 系统上一样管理应用程序的权限。
以下是
)
)
