运行docker安全
我知道docker守护程序需要以root身份运行,所以我被告知这可能会导致一些安全隐患,如容器被入侵,攻击者可以修改主机的系统文件。
我可以采取什么预防措施来减轻攻击时的损害?
在运行docker守护进程时,我应该注意哪些做法? 我曾经想过要有一个stream浪汉来升级虚拟机,让docker运行在vm上。
有关Docker安全实践的主要信息来源是“ Docker安全性 ”页面。
只有受信任的用户才能被允许控制你的Docker守护进程 。
这是一些强大的Dockerfunction的直接结果。具体来说,Docker允许您在Docker主机和访客容器之间共享一个目录; 它允许你这样做而不限制容器的访问权限。
如果您公开REST API,您应该通过https进行操作。
最后,如果你在一台服务器上运行Docker,build议在服务器上专门运行Docker,并移动Docker控制的容器内的所有其他服务
关于VM,请参阅“ Docker容器是否真的安全?
最大的问题是Linux中的所有内容都没有命名空间。 目前,Docker使用五个名称空间来更改系统的进程视图:进程,networking,安装,主机名,共享内存。
虽然这些为用户提供了一定程度的安全性,但并不全面,例如KVM(基于内核的虚拟机) 。
在KVM环境中,虚拟机中的进程不直接与主机内核通信。 他们没有任何访问内核文件系统,如/sys
和/sys/fs
,/proc/*
。