我知道 docker 守护进程需要以 root 身份运行 https://docs.docker.com/articles/security/所以我被告知这可能会导致一些安全隐患,例如如果容器遭到破坏,攻击者可以更改主机的系统文件。
发生攻击时,我可以采取哪些预防措施来减轻损失?
运行 docker 守护进程时有什么我应该注意的做法吗?我考虑过让一个流浪者启动一个虚拟机,然后让 docker 在虚拟机中运行。
有关 docker 安全实践的主要信息来源是“Docker 安全 https://docs.docker.com/articles/security/".
仅应允许受信任的用户控制您的 Docker 守护进程.
这是一些强大的 Docker 功能的直接结果。
具体来说,Docker 允许您在 Docker 主机和来宾容器之间共享目录;它允许您在不限制容器访问权限的情况下执行此操作。
如果您公开 REST API,则应通过 https 进行。
最后,如果您在服务器上运行 Docker,建议在服务器中只运行 Docker,并将所有其他服务移至 Docker 控制的容器内
关于VM,请参阅“Docker 容器真的安全吗? http://opensource.com/business/14/7/docker-security-selinux"
最大的问题是 Linux 中的所有内容都没有命名空间。目前,Docker 使用五个命名空间来改变系统的进程视图:进程、网络、挂载、主机名、共享内存。
虽然这些为用户提供了一定程度的安全性,但它绝不是全面的,例如KVM(基于内核的虚拟机) https://en.wikipedia.org/wiki/Kernel-based_Virtual_Machine.
在 KVM 环境中,虚拟机中的进程不直接与主机内核通信。他们无权访问内核文件系统,例如/sys and /sys/fs, /proc/*.
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
