写点什么

在生产环境中安全地运行 Docker 容器

  • 2016-12-29
  • 本文字数:1118 字

    阅读完需:约 4 分钟

在生产环境中,强化 Docker 容器的一种方法就是使它们不可变,也就是只读。安全地运行容器的其他方法还包括最小化受攻击面和应用 Linux 安全过程,标准 Linux 安全过程和针对容器环境的特定过程都要应用。

在启动容器时传入–read-only 标记就可以在只读模式下运行它。这可以防止任何进程写入文件系统。任何试图写入的动作都会导致错误。运行这种不可变的基础设施也与其他软件部署流水线的最佳实践相吻合。

尽管不可变性可以阻止任何恶意脚本的执行,可以禁止通过在容器里运行的其他软件暴露出来的漏洞而引起的改动。但是在现实生产环境中,这种模式又是不是适用于应用程序呢?比如,要产生的日志文件和要使用数据库的应用程序就需要可写性。

写日志的一个可能的解决方案可以是使用一个集中的日志系统,比如 Elasticsearch/Logstash/Kibana(ELK),这样所有的日志都被收集在一个中心节点,可能是在另一个容器中,就不是用户可以直接访问的了。另一种替代的方案是在启动容器时,通过使用–log-driver 标记将日志导出到容器之外。对于那些需要对 /tmp 之类的临时目录有写入权限的应用程序,一种解决办法是在容器里为这些目录加载一个临时的文件系统

终端用户不能直接访问数据库,所以风险较低。然而,这并不排除受到攻击的可能,除非面对用户的应用程序得到了强化。

在不可避免地要有一个可写的文件系统的情况下,Docker 提供了审计和变化的回滚功能。在 Docker 容器里的文件系统是作为一系列层的堆叠。当创建一个新容器时,将在顶部添加一个新层,该层可以写入。Docker 存储驱动程序隐藏了这些细节,并将它作为一个普通的文件系统交付给用户。对正在运行的容器的写入将写入此新层。这通常被称为写时拷贝(Copy-On-Write,COW)。

在 Docker 容器里很容易检测到配置漂移或预期的配置变更。“docker diff”命令可以显示对文件系统的更改——无论更改操作是文件添加、删除还是修改。

除了在可能的情况下运行一个只读容器,我们提出以下建议,以确保在生产环境中容器的安全:

  • 运行一个 Alpine Linux 之类的最小的镜像,Alpine Linux 是基于安全思想而设计的。它的内核上打了一个 grsecurity 的非官方移植的补丁。 Grsecurity 是一套对 Linux 内核的安全增强方法,它包括权限控制以及消除基于漏洞的内存崩溃的可能,具体方法是将那些使系统可能被攻击的方法减少到最少。
  • 限制对 CPU、RAM 等资源的使用,以防止 DoS 攻击。
  • 在操作系统中配置线程和进程限制。
  • 采用 sysctl 之类标准的 Linux 内核强化程序。
  • 每个容器中只运行一个应用程序。建议这么做,是因为它减小了受攻击面,即对于一个给定的容器,可能的漏洞数量就只取决于在该容器上运行的应用程序了。

阅读英文原文 Running Docker Containers Securely in Production

2016-12-29 18:002602
用户头像

发布了 152 篇内容, 共 70.3 次阅读, 收获喜欢 64 次。

关注

评论

发布
暂无评论
发现更多内容

如何优雅地使用Appium元素定位工具进行移动端测试?

测吧(北京)科技有限公司

测试

LED全彩显示屏的三种基色

Dylan

技术 图像 LED LED显示屏 现代技术

Ubuntu 20.04网卡命名规则

百度搜索:蓝易云

Linux ubuntu 云服务器 eth1 eth0

基于国产 Web 组态软件 TopStack 搭建隧道照明控制系统

图扑物联

物联网 组态软件 web组态 智慧隧道

国内小白用什么方法充值使用ChatGPT4.0?

蓉蓉

openai GPT-4 ChatGPT4

AI原生实践:测试用例创作探索

百度Geek说

测试用例 企业号 5 月 PK 榜 AI原生实践 企业号2024年5月PK榜

天工一刻 | 一文看懂MoE混合专家大模型

新消费日报

php出现SSL certificate problem: unable to get local issuer certificate的解决办法

百度搜索:蓝易云

php Linux 运维 ssl curl

豆瓣8.7分,30000人都在阅读的量化用户体验实操书全面更新!

博文视点Broadview

深度探究:职业发展必备——能力模型解析

测试人

软件测试

详解数仓的3A安全能力

华为云开发者联盟

数据库 后端 华为云 数据库安全 华为云开发者联盟

鸿蒙OS NEXT的推出,目标是更广阔的智能设备市场

FinFish

鸿蒙开发 小程序容器 小程序技术 鸿蒙Next 鸿蒙app开发

RAG:AI大模型联合向量数据库和 Llama-index,助力检索增强生成技术

汀丶人工智能

人工智能 llama 智能问答 RGA

mybatis使用多参数查询

百度搜索:蓝易云

云计算 Linux 运维 mybatis 云服务器

CCE云原生混部场景下的测试案例

华为云开发者联盟

云原生 华为云 华为云开发者联盟 华为云CCE

Go-Zero技能提升:深度探究goctl的妙用,轻松应对微服务开发挑战!(三)

王中阳Go

Go golang 微服务 Go进阶 gozero

深度探究:职业发展必备——能力模型解析

测吧(北京)科技有限公司

测试

营销H5测试综述

京东零售技术

测试 企业号 5 月 PK 榜

【Git】删除本地分支;报错error: Cannot delete branch ‘wangyunuo-test‘ checked out at ‘XXX‘

百度搜索:蓝易云

git 云计算 Linux 运维 云服务器

DcmMWL-SDK

birdbro

andiod Java' DICOM

聚道云助力航空巨头,管理与信息化效率飙升!

聚道云软件连接器

案例分享

大数据基础工程技术团队4篇论文入选ICLR,ICDE,WWW

阿里云大数据AI技术

大数据 阿里云

在生产环境中安全地运行Docker容器_Linux_Hrishikesh Barua_InfoQ精选文章