QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

Docker 安全性探讨与实践:探讨篇

  • 2014-09-09
  • 本文字数:1768 字

    阅读完需:约 6 分钟

Daniel Walsh 是计算机安全领域的专家,有 30 余年的从业经验,非常熟悉容器技术。他 2001 年加入红帽公司,自 2013 年 8 月期任 RHEL Docker 增强开发团队主管。著名的 SELinux 项目就出自他手,该项目关注应用的运行空间和部署策略。Dan 还组织开发了安全虚拟化软件 sVirt,并创造了 SELinux 沙盒、Xguest 用户以及 Secure Kiosk。Dan 在今年七月参加 Docker 大会的时候做了一个主题演讲,解释了SELinux 的工作原理,Docker 如何在SELinux 下运行以及强制访问控制是如何增强Docker 安全性的。之后,基于这次演讲的视频,他又在开源网站上发表了两篇文章,一篇讨论Docker 的安全性,另一篇则着重介绍了RHEL 如何对Docker 的安全性进行了大量的增强。本文即是Dan 这两篇文章的梳理与讨论。

一、 容器的隔离能力不是万能的,应对才是王道

相信很多开发者都默认Docker 这样的容器是一种沙盒(sandbox)应用,也就是说他们可以用root 权限在Docker 中运行随便什么应用,而Docker 有安全机制能保护宿主系统。比如,有些人觉得Docker 容器里面的进程跟虚拟机里面的进程一样安全;还有的人随便找个源就下载没有验证过的Docker 镜像,看都不看内容就在宿主机器上尝试、学习和研究;还有一些提供PaaS 服务的公司竟然允许用户向多租户系统中提交自己定制的Docker 镜像。请读者注意,上述行为均是不安全的。

难怪有人说:“Docker 其实就是从网上不知什么地方下载一堆随机的代码,然后用root 权限运行。”现在Docker 镜像遇到的情景,跟1999 年Linux 兴起的时候类似:一个管理员觉得一个Linux 命令挺酷,就随便从网上什么地方找到这个命令的rpm 包,看都不看就安装运行。这显然是自取灭亡的典范。没过几天这个命令就爆出有bug,直接导致整个系统的瘫痪。

这种自取其辱的事情数不胜数,Dan 的团队乃至整个红帽公司,就在致力减少类似事件发生的概率。比如一定要从可信源下载软件,定期进行安全更新,长期维护一个安全应急小组以及验证系统安全性的一整套规程。

二、 我们需要在乎容器的安全性么?出乎意料但是显然需要

Dan 的团队近期不断提醒开发者,容器内外的权限基本没什么差别。如果开发者不是在多租户系统上运行 Docker,并且对 Docker 里面运行的服务都采取了很好的安全措施,那他们可能的确不用担心 Docker 爆出什么安全性问题,因为他们把 Docker 镜像内部和宿主环境同等对待了,这两者之间的安全性确实没什么差别。

但是难免有挺多开发者从直觉出发,觉得 Docker 容器的安全性就高,这些人往往会把 Docker 容器机制当作一种更快速部署虚拟机的方法。这时候就需要提醒他们安全性的问题了。从安全角度来看,容器的安全性非常弱。正常来讲,Docker 容器机制应该被当作一种服务来看待,就是说跑在 Docker 镜像上的 Apache 的安全措施,应该跟跑在自己服务器上的安全措施没什么区别才可以。比如,应该尽可能少的赋予软件各种权限,还应该总是用非 root 模式运行软件,以及万一在 Docker 内部用到了 root 权限,需要谨慎一如在宿主机上一样。

三、 是什么导致了安全漏洞?NameSpace

那么究竟是什么地方导致了 Docker 容器机制的安全问题呢?简单一句话,Linux 系统中不是所有东西都有命名空间(Namespace)。最新版本的 Docker 有五个命名空间:进程、网络、挂载、宿主和共享内存。如此简单的命名空间显然无法给开发者提供复杂的安全保护。比如在类似 KVM 的环境里,虚拟机根本无法直接和宿主的内核交互,它没有任何方式可以访问内核文件系统中如 /sys 和 /sys/fs 这样的地方。在这种情况下,想要脱离虚拟机来攻击宿主,比如要找到 HyperVisor 的弱点,攻克 SELinux 控制(这是个挺难的事情),然后才能够染指宿主的文件系统。而在 Docker 这样的容器里,原生就可以访问宿主的内核,安全性从何而来?

Dan 在文章中列举了主流的没有命名空间的内核,有:

  • SELinux
  • Cgroups
  • file systems under /sys
  • /proc/sys, /proc/sysrq-trigger, /proc/irq, /proc/bus

没有命名空间的设备有:

  • /dev/mem
  • /dev/sd* file system devices
  • Kernel Modules

如果开发者能访问或者攻击任何一个,就可以获得整个系统的控制权。


感谢郭蕾对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ )或者腾讯微博( @InfoQ )关注我们,并与我们的编辑和其他读者朋友交流。

2014-09-09 07:273118
用户头像

发布了 268 篇内容, 共 127.1 次阅读, 收获喜欢 24 次。

关注

评论

发布
暂无评论
发现更多内容

破坏系统是为了更稳定?混沌工程在去哪儿的4个阶段实践

TakinTalks稳定性社区

混沌工程 故障治理

提升汽车APP用户体验,火山引擎APMPlus的“独家秘笈”

字节跳动终端技术

性能监控 APP开发 应用性能 火山引擎 APMPlus

又一创新!阿里云 Serverless 调度论文被云计算顶会 ACM SoCC 收录

阿里巴巴云原生

阿里云 Serverless 云原生

待办事项是什么意思,为什么要用?

优秀

待办事项

2022最新整理上千道Java面试攻略,近500页PDF文档

钟奕礼

Java Java 面试 java程序员 java编程

Java岗史上最全八股文面试真题汇总,堪称2022年面试天花板

小二,上酒上酒

Java 程序员 面试 八股文

微服务调用的正确打开方式

Java全栈架构师

Java 程序员 面试 微服务 后端

解密金融行业数据云平台建设密码

数造万象

手把手教你成为荣耀开发者:商户服务开通指南

荣耀开发者服务平台

android 开发者 手机 荣耀 honor

华为云会议网络研讨会,按次订购更方便!

清欢科技

测试自动化中遵循的最佳实践

禅道项目管理

自动化测试

个推TechDay治数训练营直播预告 | 从方法论到落地应用,详解企业标签体系建设要点

个推

标签 用户画像 标签体系

推荐5款IDEA插件,堪称代码质量检查利器!

程序员小毕

Java 程序员 程序人生 后端 IDEA

这份1658页的Java面试核心突击讲,成功让我上岸阿里

小二,上酒上酒

Java 程序员 面试 阿里 大厂面试

自学 UI 设计有哪些书籍推荐

千锋IT教育

2022年11月《中国数据库行业分析报告》重磅发布!精彩抢先看

墨天轮

人工智能 数据库 dba 智能运维 国产数据库

EMR-StarRocks 与 Flink 在汇量实时写入场景的最佳实践

阿里云大数据AI技术

数据库 flink EMR 十一月月更

【计算讲谈社】第十三讲|未来40年,“碳中和”可能带来哪些深远影响?

大咖说

碳中和

KnowStreaming贡献流程

石臻臻的杂货铺

kafka 后端 11月月更

星策转型大咖说第二弹!前喜茶数字化副总裁、前百果科技首席技术市场官沈欣老师数字化转型经验分享!

星策开源社区

开源 方法论 转型 智能化转型

阿里P8大佬总结的Nacos入门笔记,从安装到进阶小白也能轻松学会

小二,上酒上酒

Java 编程 程序员 nacos

在线电子表格,助力数据分析人员高效办公

流量猫猫头

大数据

阿里大牛纯手写的微服务入门笔记,从基础到进阶直接封神

小二,上酒上酒

Java 编程 程序员 架构 微服务

个推发布《Android13适配指南》,解读Android13新特性

个推

android 安卓 安卓开发

Go语言—big包的使用

良猿

Go golang 后端 11月月更 goweb

阿里云张建锋:核心云产品全面 Serverless 化

Serverless Devs

ShareSDK for Flutter

MobTech袤博科技

小伙伴面经分享京东+面试八股文整套面试真题(含答案)

钟奕礼

Java 程序员 java面试 java编程

工业物联网DCS和SCADA的区别

2D3D前端可视化开发

物联网 DCS web组态软件 SCADA 工业组态

CSS 基础属性篇组成及作用

千锋IT教育

数据治理必读|基于Dataphin,快速建设高质量数据支撑业务发展

瓴羊企业智能服务

Docker安全性探讨与实践:探讨篇_语言 & 开发_张天雷_InfoQ精选文章