Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面:
Linux内核的命名空间机制提供的容器隔离安全
Linux控制组机制对容器资源的控制能力安全。
Linux内核的能力机制所带来的操作权限安全
Docker程序(特别是服务端)本身的抗攻击性。
其他安全增强机制对容器安全性的影响。
命名空间隔离的安全
当docker run启动一个容器时,Docker将在后台为容器创建一独立的命名空间。命名空间提供了最基础也最直接的隔离。
与虚拟机方式相比,通过Linux namespace来实现的隔离不是么彻底,在真实主机和在容器内查看到的内存信息是一样的。
容器只是运行在宿主机上的一种特殊的进程,那么多个容器之间使用的 就还是同一个宿主机的操作系统内核。
在 Linux 内核中,有很多资源和对象是不能被 Namespace 化的,比如:时间。
控制组资源控制的安全
当docker run启动一个容器时,Docker将在后台为容器创建一个独立的控制组策略集合。
Linux Cgroups提供了很多有用的特性,确保各容器可以公平地分享主机的内存、CPU、磁盘IO等资源。
确保当发生在容器内的资源压力不会影响到本地主机系统和其他容器,它在防止拒绝服务攻击(DDoS)方面必不可少。
[root@server3 ns]# mount -t cgroup
查看资源控制组。
内核能力机制
能力机制(Capability)是Linux内核一个强大的特性,可以提供细粒度的权限访问控制。
大部分情况下,容器并不需要“真正的”root权限,容器只需要少数的能力即可。
默认情况下,Docker采用“白名单”机制,禁用“必需功能”之外的其他权限。
Docker服务端防护
使用Docker容器的核心是Docker服务端,确保只有可信的用户才能访问到Docker服务。
将容器的root用户映射到本地主机上的非root用户,减轻容器和主机之间因权限提升而引起的安全问题。
允许Docker 服务端在非root权限下运行,利用安全可靠的子进程来代理执行需要特
其他安全特性
在内核中启用GRSEC和PAX,这将增加更多的编译和运行时的安全检查;并且通过地址随机化机制来避免恶意探测等。启用该特性不需要Docker进行任何配置。
使用一些有增强安全特性的容器模板。
用户可以自定义更加严格的访问控制机制来定制安全策略。
在文件系统挂载到容器内部时,可以通过配置只读模式来避免容器内的应用通过文件系统破坏外部环境,特别是一些系统运行状态相关的目录。
Linux Cgroups 的全称是 Linux Control Group。是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等等。对进程进行优先级设置、审计,以及将进程挂起和恢复等操作。
Linux Cgroups 给用户暴露出来的操作接口是文件系统。它以文件和目录的方式组织在操作系统的 /sys/fs/cgroup 路径下。执行此命令查看:mount -t cgroup
在 /sys/fs/cgroup 下面有很多诸如 cpuset、cpu、 memory 这样的子目录,也叫子系统。在每个子系统下面,为每个容器创建一个控制组(即创建一
个新目录)。
控制组下面的资源文件里填上什么值,就靠用户执行 docker
run 时的参数指定。
CPU限额
[root@server3 x1]# dd if=/dev/zero of=/dev/null & [1] 13185 [root@server3 x1]# top
使用dd命令消耗cpu资源,查看cpu占用接近100%,接下来要修改文件进行限额。
查看cpu总额度为100000.
[root@server3 x1]# echo 20000 > cpu.cfs_quota_us [root@server3 x1]# ls cgroup.clone_children cpuacct.usage_percpu cpu.shares cgroup.event_control cpu.cfs_period_us cpu.stat cgroup.procs cpu.cfs_quota_us notify_on_release cpuacct.stat cpu.rt_period_us tasks cpuacct.usage cpu.rt_runtime_us [root@server3 x1]# echo 13185 > tasks ##13185是前面dd命令的进程号
分配20000额度。
再次查看,cpu占用为20%。
docker run -it --cpu-period=100000 --cpu-quota=20000 ubuntu /bin/bash
cpu_period 和 cpu_quota 这两个参数需要组合使用,用来限制进程在
长度为 cpu_period 的一段时间内,只能被分配到总量为 cpu_quota 的CPU 时间,以上设置表示20%的cpu时间。
查看容器的cpu限额,这里是-1,没有限制。
[root@server3 ~]# docker run -it --cpu-period=100000 --cpu-quota=20000 ubuntu /bin/bash
查看,新生成的容器,设置表示20%的cpu时间。
[root@server3 ~]# docker run -it --name vm1 --cpu-period=100000 --cpu-quota=20000 ubuntu
创建容器时对容器的cpu进行限额,容器cpu使用度不超过本机的20%。
root@6355fd35f954:/# dd if=/dev/zero of=/dev/null & [1] 15
进入容器内使cpu负载为100%
在本机查看,cpu使用度为20%。
内存限制
容器可用内存包括两个部分:物理内存和swap交换分区。
docker run -it --memory 200M --memory-swap=200M ubuntu
–memory设置内存使用限额
–memory-swap设置swap交换分区限额
[root@server3 ~]# docker run -it --name vm2 --memory=200M --memory-swap=200M ubuntu
进入/sys/fs/cgroup/memory/docker/下的相应容器内查看,这里的单位时byte,就是我们分配的200M。
Block IO限制
docker run -it --device-write-bps /dev/sda:30MB ubuntu --device-write-bps限制写设备的bps
目前的block IO限制只对direct IO有效。(不使用文件缓存)
设置对用户的权限:
[root@server3 ~]# cd /sys/fs/cgroup/ [root@server3 memory]# cd x2 [root@server3 x2]# cat memory.limit_in_bytes 314572800 [root@server3 x2]# cat memory.memsw.limit_in_bytes 314572800
查看对内存的限制,这里我之前设置过了,是300M。
[root@server3 x2]# vim /etc/cgrules.conf
设置hang用户对内存的权限。
[root@server3 x2]# systemctl start cgred.service
开启服务,使配置生效。
[root@server3 shm]# su - hang Last login: Wed Jun 5 15:59:04 CST 2019 on pts/0 [hang@server3 ~]$ ls [hang@server3 ~]$ cd /dev/shm [hang@server3 shm]$ dd if=/dev/zero of=bigfile bs=1M count=200
切换用户,到 /dev/shm目录下进行内存测试。
我们发现,使用hang这个用户时,最多能使用300M内存,这是在前面的 /sys/fs/cgroup/目录中设定的。
利用LXCFS增强docker容器隔离性和资源可见性
[root@server3 ~]# docker run -it --name vm1 --memory=200M --memory-swap=200M ubuntu
打开一个容器,指定内存和swap分区一共为200M,但在容器内中查看到的信息和宿主主机的一样,隔离不彻底,下面将增强对容器的隔离性。
[root@server3 ~]# yum install -y lxcfs-2.0.5-3.el7.centos.x86_64.rpm
首先要获取 lxcfs包进行安装。
此时,进入目录中,里面还什么都没有。
[root@server3 ~]# lxcfs /var/lib/lxcfs &
目录中生成两个目录。
进入proc目录,在创建目录时,把这些文件挂载到容器的指定位置,就可以用来指定容器的内存等。
[root@server3 proc]# docker run -it -m 200m \ > -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \ > -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \ > -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \ > -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \ > -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \ > -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \ > ubuntu
创建容器时分配内存为200M,挂载相应文件。
此时,再次查看信息,内存只有200M,已经和宿主主机的容器隔离了。
设置特权级运行的容器:–privileged=true
有的时候我们需要容器具备更多的权限,比如操作内核模块,控制swap交换分区,挂载USB磁盘,修改MAC地址等。
在容器内down掉eth0网卡发现没有权限。
[root@server3 ~]# docker run -it --name vm1 --privileged=true ubuntu
创建容器时加 --privileged=true参数会获得root所有权限,再把eth0down掉发现成功了,有了root权限后可以对内核模块等进行操作,但这样对于一个容器来说权限过高了,所以我们可以对权限设置一个白名单。
设置容器白名单
–privileged=true 的权限非常大,接近于宿主机的权限,为了防止用户的滥用,需要增加限制,只提供给容器必须的权限。此时Docker 提供了权限白名单的机制,使用–cap-add添加必要的权限。
docker run -it --cap-add=NET_ADMIN --name vm1 ubuntu bash docker inspect -f {{.HostConfig.Privileged}} vm1 docker inspect -f {{.HostConfig.CapAdd}} vm1