Tag: 安全
确保docker集装箱
首先让我说,我开始与docker,我还没有尝试过,为了做到这一点,我想知道是否有一种方法,我可以阻止用户看到docker容器文件系统(我假设容器FS位于主机下的普通文件,就像在openvz容器中发生的一样,我错了?),我想阻止某些用户查看容器文件系统并在某些容器上运行docker命令,这可能吗? 这可以使用AppArmor或类似的软件来完成吗?
Docker只读套接字卷
对docker工人来说并不陌生,并且正在倾听这里给出的谈话 (相关部分从14:40到大约16:00)。 相关部分讨论了为套接字使用只读卷与MySQL服务器进行通信。 他介绍的情况是,它阻止了被黑客入侵的服务器删除了MySQL套接字。 我只是无法理解这意味着要处理什么安全威胁。 他说,黑客所能做的就是“select我的电子邮件地址”(可能意味着他可以访问所有的数据)。 这不是一个巨大的安全漏洞? 其次,这种方法比使用TCP / IP进行连接的优点是什么? 这是否仅仅是因为你不必在你的容器中暴露该端口? 根据我的理解,它提供的唯一安全性是防止它们从只读服务器中删除unix域套接字。 如果这种情况发生,从安全的angular度来看,这实际上是一个大问题吗?
限制对Docker容器内容的访问
是否有可能禁止附加到Docker容器或以其他方式限制对容器文件内容的访问? 用例是一个PHP应用程序的分布,不希望允许用户访问或修改应用程序的文件。 如果Docker无法做到这一点,那么有没有更好的适合这个用例的虚拟机的select?
在同一主机上控制对多个Docker容器的访问
我的任务是使用Docker在单个Amazon EC2实例上设置多个独立的客户端特定的Web应用程序实例。 基本应用程序对于每个实例基本相同,但是已经为每个客户端定制。 目标如下: 1)每个集装箱将被固定和“沙箱”,使得没有一个集装箱可能影响其他人或主人。 这是我的理解Docker做这个,但我只是想确定。 2)每个容器都是“完整的”,并有自己的用户,数据库,访问密钥等。 3)与一个容器关联的用户应该无法访问任何其他容器或主机的任何方面。 我已经search了类似的问题,有些似乎触及了这个想法,但并没有完全回答我的问题。 我知道这可能违背了Docker的理念,但是,这是可行的,那么最好的方法是什么? 过去,当每个主机只有一个客户端时,我们使用SSH隧道来访问相关的端口,但是在同一个主机上有多个客户端可以使用这种安全的方法吗? 像Nginx或Apache这样的反向代理服务器可以更好地服务于这种设置吗? 我应该在这里指定,我们目前正在寻找只有一个域来访问这个主机。 我想这个问题归结为,如何在单个主机上运行多个客户端容器时限制每个容器级别的远程访问? 任何帮助深表感谢。
一次性CLI应用程序的Docker
自从我第一次知道Docker以来,我认为这可能是我们通常在实验室面临的几个问题的解决scheme。 我是一个小型生物研究组的数据分析师。 我正在使用Snakemake来为我们的分析定义通常很大且相当复杂的工作stream程。 在Snakemake中,我通常使用R,Python甚至命令行应用程序(如alignment器或注释工具)来调用小脚本。 在这种情况下,遭受依赖地狱的情况并不less见,因此我正考虑在Docker容器中封装一些工具。 在这一刻,我陷入了一个不知道我select的技术是否糟糕,或者我无法正确理解Docker的所有信息的问题。 这个问题与你必须以root身份运行Docker工具有关,这是我根本不想做的事情,因为最初的想法是让每个愿意使用它们的研究人员都能使用docker化的应用程序。 在AskUbuntu中 ,投票最多的答案是build议将最终用户添加到docker组中,但似乎这不利于安全性。 另一方面, 在Docker的安全性文章中 ,他们解释说,以root身份运行这些工具对您的安全性是有利的。 我在SO上发现了类似的问题 ,但与容器内部的环境有关。 好吧,我对这个没有任何问题,但是随着每一个中等复杂度的例子,我碰巧发现,它似乎更倾向于Web应用程序开发,系统最初可以启动容器,然后忘记它。 我现在正在考虑的事情是: 将Docker守护程序configuration为启用TLS的 TCP远程服务,并向相应的用户提供证书。 运行应用程序会有什么开销吗? 安全问题? 通过共享/ usr / local / bin /卷或类似的方法创build仅向主机提供应用程序的映像。 这是安全的吗? 你怎么能创build一个不需要执行任何东西的守护进程的容器? 我发现的唯一例子意味着创build一个无限循环 。 nucleotid.es页面似乎做了类似于我想要的东西,但我没有发现任何安全问题的参考。 也许他们正在虚拟机中运行所有的容器,他们不必担心这些问题,因为他们不需要将docker化的应用程序暴露给更多的人。 对不起,我的详细程度。 我只是想写下我卡在哪里的心理过程(可能有缺陷,我知道,我知道)。 总结一下: 有没有可能创build一个dockerized命令行应用程序,不需要使用sudo运行,可用于同一服务器中的几个人,而不是以守护进程的方式运行? 先谢谢你。 问候。
Docker中的卷是安全漏洞吗?
如果我们在Docker容器中使用'volume'公开主机目录。 我想知道这是否被认为是安全后门。
与docker的内部基础设施
我有一个小公司networking与以下服务/服务器: jenkins 藏匿(atlassian) 合stream(atlassian) LDAP owncloud zabbix(监控) 木偶 和一些java-web-apps 所有运行在独立虚拟子网上的单独kvm(libvirt)-vms都在两台机器(1个内部,1个hetzner-rootserver)之间。 我正在考虑切换到docker。 但有两个问题给我: 我怎样才能实现docker集装箱之间的networking安全(即我想阻止owncloud访问除了ldap-hosts-sslport的networking中的任何主机) 只是通过使用docker连接? 如果是的话:docker真的只允许访问链接的容器,但没有其他人? 通过使用kubernetes? 通过为每个容器添加多个桥接networking接口? 你会把所有的infra-services / -servers切换到docker,还是只有docker上的owncloud和java-web-apps的混合解决scheme?
mount root FS只能用docker-compose读取
我尝试应用docker CIS( https://github.com/docker/docker-bench-security ) testing5.13是:将Mount container's root filesystem as read only docker run有一个选项可以只读root FS: –read-only=true read –read-only=true 但是我找不到与docker-compose一样的可能性。 有没有可能根据docker-compose来读取根FS?
Docker主机安全 – 容器是否可以运行危险的代码或从容器内改变主机?
比方说,我从一个集线器仓库中拉出一个新的图像,并运行它,而无需查看dockerfile的内容。 容器或图像能否以任何方式影响我的主机? 请让我知道,因为我将运行我的服务器上用户input的图像名称的图像列表。 我担心,如果它会影响服务器/主机。
Owasp ZAP在使用“Form-Based-Authentication”进行主动扫描期间不执行身份validationON python项目
我正在面对基于owasp zap表单的authentication上的障碍。 我按照指导安装zap属性。 当我运行主动扫描然后“当试图login它给FORBIDDEN错误。CSRF令牌不可用。 Owasp ZAP在使用“Form-Based-Authentication”进行主动扫描期间不执行身份validationON python项目。 [ 我的目标url是: http://example.com:84/admin/login/?next=/admin/ 发布数据 ; csrfmiddlewaretoken=IjYwHHavnCYgcWYMy2oL3L9Z0ldUH95s&username={%username%}&password={%password%}&next=%2Fadmin%2F 这里是我得到的HTML响应: <div id="summary"> <h1>Forbidden <span>(403)</span></h1> <p>CSRF verification failed. Request aborted.</p> </div> <div id="info"> <h2>Help</h2> <p>Reason given for failure:</p> <pre> CSRF token missing or incorrect. </pre> <p>In general, this can occur when there is a genuine Cross Site Request Forgery, or when <a […]
