99精品伊人亚洲|最近国产中文炮友|九草在线视频支援|AV网站大全最新|美女黄片免费观看|国产精品资源视频|精彩无码视频一区|91大神在线后入|伊人终合在线播放|久草综合久久中文

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

詳解Docker容器和Docker鏡像

馬哥Linux運(yùn)維 ? 來源:InfoQ ? 作者:InfoQ ? 2022-04-09 16:49 ? 次閱讀
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

Docker 是現(xiàn)在的開發(fā)人員都已經(jīng)很熟悉的平臺。它使得我們可以更容易地在容器中創(chuàng)建、部署和運(yùn)行應(yīng)用程序。所需的依賴會被“打包”并且以進(jìn)程的方式運(yùn)行在主機(jī)操作系統(tǒng)上,而不是像虛擬機(jī)那樣為每個工作負(fù)載都重復(fù)使用操作系統(tǒng)。這就避免了機(jī)器之間微小的配置差異。

因?yàn)?Docker 使這種方式流行了起來,所以很多人都在討論 Docker 容器和 Docker 鏡像。實(shí)際上,鏡像和容器并不一定非“Docker”不可,它們可以基于類似的框架。

隨著云原生編程的普及,Docker 本身和 Docker 這種方式也在不斷發(fā)展。云原生這個術(shù)語有多種定義,但是它主要指的是在云基礎(chǔ)設(shè)施上運(yùn)行應(yīng)用程序,這里所說的應(yīng)用程序很可能是基于微服務(wù)架構(gòu)的。它會使用自動化工具,以及云供應(yīng)商的資源和功能。在這種編程風(fēng)格中,像 Docker 這樣的容器化工具通常會很有用,因?yàn)槿萜鞯膬?nèi)容和搭建過程會形成一個可重復(fù)的環(huán)境,不受底層系統(tǒng)的影響。

如果你正在使用 Docker 的話,你可能也想知道它對你的應(yīng)用來講是否足夠安全。和許多系統(tǒng)一樣,我們不能簡單地用是或者不是來回答“Docker 是否安全?”這個問題。以安全的方式使用 Docker 是可以實(shí)現(xiàn)的,但是我們需要考慮采取一些行動才行。

在本文中,我們將會探討 Docker 相關(guān)的最重要的安全因素。

Docker 與 Docker 鏡像

為了解決 Docker 的安全問題,我們需要理解在容器中運(yùn)行鏡像的 Docker 以及 Docker 鏡像本身的差異。

我們會從一個 Docker 鏡像來啟動容器。Docker 鏡像是一個分層的結(jié)構(gòu),我們會在這里定義要運(yùn)行的進(jìn)程以及運(yùn)行該進(jìn)程所需的文件。例如,如果你是一位 Jakarta EE 開發(fā)人員的話,這可能會是 Jakarta EE 服務(wù)器的安裝程序以及你的應(yīng)用。

Docker Hub 是一個存儲庫,我們可以在這里存儲和共享 Docker 鏡像。我們可以使用這里的鏡像直接啟動一個容器,也可以擴(kuò)展這些鏡像,根據(jù)需要定制化并使用它們。定制化鏡像的方式,也就是選擇要包含哪些二進(jìn)制文件以及它們的權(quán)限,這會對應(yīng)用程序的安全性產(chǎn)生影響。

隨后,我們要有一個實(shí)際運(yùn)行容器的程序。它會有一個守護(hù)進(jìn)程(不受用戶直接控制的后臺進(jìn)程),負(fù)責(zé)托管鏡像、容器、網(wǎng)絡(luò)和存儲卷。這可能是 Docker Engine,也可能是其他的實(shí)現(xiàn)。它會負(fù)責(zé)以隔離的方式運(yùn)行你的進(jìn)程。如何運(yùn)行容器也會對安全性產(chǎn)生影響。

鏡像的安全考慮因素

我們所構(gòu)建的容器鏡像符合開放容器倡議(Open Container Initiative,OCI),它不一定要提供開箱即用的全面安全性。我們可以采取一些步驟確保這個進(jìn)程在容器和主機(jī)系統(tǒng)中是相當(dāng)安全的。

在容器中運(yùn)行這個進(jìn)程的主要問題在于當(dāng)應(yīng)用被人“入侵”時,它可以通過底層主機(jī)獲取權(quán)限,從而對許多系統(tǒng)帶來安全風(fēng)險。

當(dāng)在容器中運(yùn)行時,我們需要更加警惕安全相關(guān)的問題,因?yàn)榕c虛擬機(jī)相比,容器與主機(jī)有著更緊密的集成(正如前文所述,它運(yùn)行在主機(jī)的操作系統(tǒng)中)。當(dāng)安全漏洞在容器中出現(xiàn)時,它會更加嚴(yán)重。這是因?yàn)?,?dāng)應(yīng)用程序在不同的物理機(jī)上運(yùn)行時,它們在一定程度上是相互分離的。但是,當(dāng)容器軟件中出現(xiàn)漏洞時,某個應(yīng)用 / 進(jìn)程有可能會訪問另外一個容器,因此會訪問自己的漏洞或者將自己的漏洞對外暴露出去。

對于容器中的應(yīng)用程序或進(jìn)程,我們應(yīng)該采取的一個預(yù)防措施就是,它絕不應(yīng)該以“root”用戶身份運(yùn)行。如果作為 root 用戶運(yùn)行的話,該進(jìn)程會有更多的權(quán)限,因此可以訪問更多低層級的資源進(jìn)程。我們始終應(yīng)該在容器腳本的某個地方聲明運(yùn)行主進(jìn)程的用戶:

USERmyuser



理想情況下,進(jìn)程和應(yīng)用程序的所有二進(jìn)制文件其擁有者都應(yīng)該是 root,但是運(yùn)行進(jìn)程的用戶只應(yīng)該有讀取和執(zhí)行的權(quán)限。通過這種方式,進(jìn)程本身無法修改容器中構(gòu)成應(yīng)用程序的二進(jìn)制文件和腳本,因此在出現(xiàn)漏洞時,情況也不會太嚴(yán)重。

上述的場景就是最小權(quán)限原則的具體實(shí)施:強(qiáng)制代碼以盡可能低的權(quán)限運(yùn)行。當(dāng)進(jìn)程沒有權(quán)限的時候,它也就不會被濫用了。另外一個原則就是減少潛在的攻擊面。鏡像不應(yīng)該包含非嚴(yán)格需要的二進(jìn)制文件,它們可能會成為安全漏洞的來源。

所以,鏡像中只應(yīng)包含絕對必要的二進(jìn)制文件。如果可能的話,從一個“空白(scratch)”鏡像開始,并且只添加那些所需的二進(jìn)制文件?;蛘?,也可以從一個很小的鏡像開始,比如 Alpine 鏡像。二進(jìn)制文件和可執(zhí)行文件越少,出現(xiàn)安全漏洞的幾率就會越低。

要刪除鏡像中不必要的組成部分,還有第三個方案,那就是使用多階段構(gòu)建,如果使用“鏡像”本身來構(gòu)建需要在容器中運(yùn)行的最終的應(yīng)用程序,尤其需要這樣做,所有額外的步驟都可以在一個單獨(dú)的階段中完成。這樣我們只能在層中將鏡像組織起來,但是我們在運(yùn)行時能夠?qū)⒉槐匾乃袞|西移除掉。

#Buildstage
#
FROMmaven:3.6.0-jdk-11-slimASbuild
COPYsrc/home/app/src
COPYpom.xml/home/app
RUNmvn-f/home/app/pom.xmlcleanpackage
#
#Packagestage
#
FROMpayara/micro:5.2021.10-jdk11
COPY--from=build/home/app/target/hello.war${DEPLOY_DIR}


上述的多階段構(gòu)建展示了一個樣例,那就是在最終鏡像中只保留需要的文件和進(jìn)程。在最終的鏡像中,源碼和 maven 工具沒有任何用處,我們只需要 web 應(yīng)用程序的 war 文件。通過使用兩個獨(dú)立的階段,我們能夠確保運(yùn)行時不會包含不必要的東西。圍繞進(jìn)程和應(yīng)用程序我們應(yīng)該使用相同的方法,即便它們可能是某些標(biāo)準(zhǔn)鏡像的一部分。如果可能的話,我們應(yīng)該從一個基礎(chǔ)鏡像開始,并添加真正需要的東西。

容器運(yùn)行時的安全考慮因素

運(yùn)行鏡像的方式和使用的軟件也可能導(dǎo)致安全漏洞。

我們已經(jīng)說過,不應(yīng)該使用 root 用戶在容器中運(yùn)行進(jìn)程。但是,在啟動容器的時候,我們依然可以指定它以特權(quán)方式(privileged)運(yùn)行。通過該標(biāo)記,我們能夠把所有的能力交給容器,同時也解除了設(shè)備 cgroup 控制器所強(qiáng)制要求的所有限制。因此在出現(xiàn)安全問題時,它的影響會更大。

容器應(yīng)該運(yùn)行在一個“沙箱”中,所以它們能夠與主機(jī)以及其他正在運(yùn)行的容器進(jìn)行隔離。這個特權(quán)標(biāo)記會移除沙箱,因此永遠(yuǎn)都不應(yīng)該使用它。另外,還要避免設(shè)置 --net=host 選項(xiàng),因?yàn)樗部梢杂绊懮诚?。該選項(xiàng)允許容器像 root 進(jìn)程那樣打開一些數(shù)值較低的端口,這可能會影響到隔離性。

運(yùn)行容器時,如果使用主機(jī)網(wǎng)絡(luò)選項(xiàng)的話,端口映射不會生效,也沒有主機(jī)網(wǎng)絡(luò)的隔離。容器會使用與主機(jī)相同的網(wǎng)絡(luò)資源。數(shù)值范圍較低的端口一般會被認(rèn)為是眾所周知的端口,通常只有超級用戶進(jìn)程才會連接到這些端口,因此人們在連接這樣的端口時可能不太注意。但容器進(jìn)程也可以訪問整個網(wǎng)絡(luò)棧,并可能對其他熟知的端口進(jìn)行掃描。這些端口可能無法從外部訪問,但可以在容器的進(jìn)程內(nèi)進(jìn)行輪詢,因?yàn)槿萜魇褂玫氖侵鳈C(jī)的網(wǎng)絡(luò)。

Docker 運(yùn)行時不是唯一可以使用 Docker 鏡像來啟動容器的程序。如前所述,Docker 是使容器流行起來的工具,由于它是第一個實(shí)現(xiàn),所以,多年以來人們對這樣一個容器運(yùn)行時應(yīng)該如何操作有了很多的了解。隨著 Kubernetes 中容器運(yùn)行時接口(Container Runtime Interface,CRI)的定義,出現(xiàn)了其他遵循 CRI 的更好、更安全的實(shí)現(xiàn)。

如今,containerd 和 CRI-O 運(yùn)行時也可以用來運(yùn)行基于 Docker 鏡像的容器。這些實(shí)現(xiàn)方案刪掉了一些二進(jìn)制文件和進(jìn)程,從而使它們更精簡、更快速、更安全。例如,它們并不像 dockerd(Docker 運(yùn)行時進(jìn)程的名稱)那樣,默認(rèn)將 SSH 訪問包含到運(yùn)行中的容器里面。由于攻擊面較小,所以可能出現(xiàn)的問題也會比較少。

但是,即便有了這些較新的二進(jìn)制文件,安全風(fēng)險仍然不是零。因此,建議根據(jù)你的進(jìn)程來定制安全。有一個與容器相關(guān)的默認(rèn)安全配置文件,但是我們可以通過 AppArmor Linux 安全模塊對其進(jìn)行微調(diào)。你可以定義諸如文件夾訪問、網(wǎng)絡(luò)訪問以及讀取、允許(或拒絕)寫入或執(zhí)行文件的權(quán)限等能力。在 AppArmor 文件中定義以下條目,拒絕對 /etc 和 /home 目錄的寫入和列出操作:

deny/etc/**wl,deny/home/**wl,

基于對容器內(nèi)進(jìn)程要求的理解,你應(yīng)該只開放那些應(yīng)用程序正常運(yùn)行所需的權(quán)限。這個配置文件可以在我們運(yùn)行一個容器時進(jìn)行指定。

dockerrun--security-optapparmor=my_profile

結(jié)論:細(xì)致調(diào)節(jié)以獲得最大的安全性

由于 Docker 鏡像和容器需要在各種情況下使用,你需要根據(jù)具體使用情況對它們進(jìn)行調(diào)整。安全的一般準(zhǔn)則依然能夠指導(dǎo)我們針對具體的場景應(yīng)該采取哪些策略。

最低權(quán)限原則說的是,我們應(yīng)該在實(shí)現(xiàn)功能的同時給予盡可能少的權(quán)限,以避免出現(xiàn)安全漏洞。對于容器化場景,這意味著我們不應(yīng)該用 root 用戶在容器中運(yùn)行主進(jìn)程。我們還應(yīng)該對文件采取適當(dāng)?shù)臋?quán)限,并使用特定的 AppArmor 配置文件限制訪問。

為了減少攻擊面,我們應(yīng)該只包括場景中所嚴(yán)格需要的東西,使用較新的實(shí)現(xiàn),如 containerd 和 CRI-O 來運(yùn)行我們的容器,因?yàn)樗鼈儼ㄝ^少的二進(jìn)制文件和進(jìn)程。

作者簡介:

Rudy De Busscher 喜歡使用 Jakarta EE 和 MicroProfile 創(chuàng)建網(wǎng)絡(luò)應(yīng)用。作為 Payara Services 的產(chǎn)品經(jīng)理,他撰寫技術(shù)內(nèi)容;為 MicroProfile 實(shí)現(xiàn)貢獻(xiàn)力量并推廣 Payara 平臺。他經(jīng)常在世界最大的開發(fā)者Java 活動中發(fā)表演講,包括 JavaLand、ConFoo、jLove 等。他在 IT 行業(yè)活躍了 20 多年,在此期間為客戶創(chuàng)建了許多應(yīng)用程序。他也是一個開源的忠實(shí)粉絲,并在各種開放源碼項(xiàng)目中提供幫助,如 DeltaSpike、PrimeFaces 和 Apache MyFaces。他熱衷于應(yīng)用安全,你可以經(jīng)常發(fā)現(xiàn)他在討論 OAuth2、OpenID Connect 和 JWT。他維護(hù)著 Octopus 開源項(xiàng)目,并且是 Jakarta EE 安全 API 團(tuán)隊(duì)的成員。

原文標(biāo)題:Docker 足夠安全嗎?

文章出處:【微信公眾號:馬哥Linux運(yùn)維】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

審核編輯:湯梓紅


聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • 容器
    +關(guān)注

    關(guān)注

    0

    文章

    511

    瀏覽量

    22458
  • 鏡像
    +關(guān)注

    關(guān)注

    0

    文章

    178

    瀏覽量

    11251
  • Docker
    +關(guān)注

    關(guān)注

    0

    文章

    515

    瀏覽量

    12974

原文標(biāo)題:Docker 足夠安全嗎?

文章出處:【微信號:magedu-Linux,微信公眾號:馬哥Linux運(yùn)維】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

收藏 人收藏
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

    評論

    相關(guān)推薦
    熱點(diǎn)推薦

    ARM平臺實(shí)現(xiàn)Docker容器技術(shù)

    及依賴包到一個可移植的鏡像中,然后發(fā)布到任何流行的Linux或Windows機(jī)器上,亦可實(shí)現(xiàn)虛擬化。容器是完全使用沙箱機(jī)制,相互之間不會有任何接口。使用Docker,可像管理應(yīng)用程序一樣管理基礎(chǔ)結(jié)構(gòu)
    發(fā)表于 07-17 11:05

    ARM平臺實(shí)現(xiàn)Docker容器技術(shù)

    及依賴包到一個可移植的鏡像中,然后發(fā)布到任何流行的Linux或Windows機(jī)器上,亦可實(shí)現(xiàn)虛擬化。容器是完全使用沙箱機(jī)制,相互之間不會有任何接口。使用Docker,可像管理應(yīng)用程序一樣管理基礎(chǔ)結(jié)構(gòu)
    發(fā)表于 07-25 14:36

    理解Docker容器并暢玩docker

    auto--------------------------------------------------------------------------------------1、如何從虛擬機(jī)的角度,理解docker命令,暢玩docker
    發(fā)表于 11-05 09:54

    Docker容器管理命令(一)

    1、Docker容器管理命令的使用方法查看當(dāng)前主機(jī)本地docker鏡像:啟動容器必須依賴鏡像,所
    發(fā)表于 04-20 17:55

    Docker:微容器的優(yōu)勢與構(gòu)建教程

    說到Docker,可能大家都不陌生了,我們可以用Docker技術(shù)將應(yīng)用以及所有的依賴項(xiàng)打包到一個鏡像中,然后把這個鏡像部署到容器中運(yùn)行。這里
    發(fā)表于 10-10 11:32 ?0次下載

    淺析Docker鏡像本地存儲機(jī)制及容器啟動原理

    Docker 鏡像不是一個單一的文件,而是有多層構(gòu)成。我們可通過 docker images 獲取本地的鏡像列表及對應(yīng)的元信息, 接著可通過dock
    發(fā)表于 10-19 14:17 ?2670次閱讀

    Docker—簡介與鏡像用法

    阿里云官方鏡像站: ??https://developer.aliyun.com/mirror/?utm_content=g_1000303593?? ? 一、容器簡介 Docker是管理容器
    發(fā)表于 11-25 16:28 ?670次閱讀
    <b class='flag-5'>Docker</b>—簡介與<b class='flag-5'>鏡像</b>用法

    Docker鏡像的詳細(xì)講解

    本文是對 Docker 鏡像的詳細(xì)講解,講解了如何安裝 Docker、配置 Docker 鏡像加速以及操作
    的頭像 發(fā)表于 08-02 10:00 ?2528次閱讀

    減少docker鏡像大小的方法

    Docker 是一種容器引擎,可以在容器內(nèi)運(yùn)行一段代碼。Docker 鏡像是在任何地方運(yùn)行您的應(yīng)用程序而無需擔(dān)心應(yīng)用程序依賴性的方式。
    的頭像 發(fā)表于 05-15 11:13 ?1218次閱讀
    減少<b class='flag-5'>docker</b><b class='flag-5'>鏡像</b>大小的方法

    docker 搜索鏡像,docker查看鏡像詳細(xì)信息(docker下載鏡像命令)

    Docker Hub是集中管理的Docker鏡像注冊中心。通過Docker 用戶可以在注冊中心搜索、下載和使用CLI命令行工具中的鏡像。以下
    的頭像 發(fā)表于 07-19 09:46 ?2266次閱讀

    手動構(gòu)建Docker鏡像的方法

    不推薦使用docker commit命令,而應(yīng)該使用更靈活、更強(qiáng)大的dockerfile來構(gòu)建docker鏡像。
    的頭像 發(fā)表于 08-05 15:30 ?930次閱讀
    手動構(gòu)建<b class='flag-5'>Docker</b><b class='flag-5'>鏡像</b>的方法

    Dockerfile鏡像制作與Docker-Compose容器編排

    Dockerfile鏡像制作 docker/podman中, 鏡像容器的基礎(chǔ),每次執(zhí)行docker run的時候都會指定哪個基本
    的頭像 發(fā)表于 01-07 11:01 ?786次閱讀
    Dockerfile<b class='flag-5'>鏡像</b>制作與<b class='flag-5'>Docker</b>-Compose<b class='flag-5'>容器</b>編排

    Docker-鏡像的分層-busybox鏡像制作

    docker hub里面查看busybox的Dockerfile, 知識點(diǎn)4:bootfs 和 rootfs? 知識點(diǎn)5:為什么Docker鏡像要采用這種分層結(jié)構(gòu)? 如果多個容器共享一
    的頭像 發(fā)表于 01-15 10:44 ?609次閱讀
    <b class='flag-5'>Docker</b>-<b class='flag-5'>鏡像</b>的分層-busybox<b class='flag-5'>鏡像</b>制作

    docker-proxy鏡像加速倉庫

    自建多平臺容器鏡像代理服務(wù),支持 Docker Hub, GitHub, Google, k8s, Quay, Microsoft 等鏡像倉庫。
    的頭像 發(fā)表于 03-06 16:06 ?474次閱讀
    <b class='flag-5'>docker</b>-proxy<b class='flag-5'>鏡像</b>加速倉庫

    基于Docker鏡像逆向生成Dockerfile

    在本文中, 我們將通過理解Docker鏡像如何存儲數(shù)據(jù), 以及如何使用工具查看鏡像方方面面的信息來逆向工程一個Docker鏡像; 以及如何使
    的頭像 發(fā)表于 03-10 09:45 ?610次閱讀
    基于<b class='flag-5'>Docker</b><b class='flag-5'>鏡像</b>逆向生成Dockerfile