安全
- 1、Docker容器的安全
- 2、容器資源控制
- (1)memory
- (2)cpu
- (3)io
- 3、安全加固
- (1)利用LXCFS增強docker容器隔離性和資源可見性
- (2)設定特權級運行的容器
- (3)設定容器白名單:–cap-add
- (4)其他安全加固的思路
1、Docker容器的安全
Docker容器的安全性,主要依賴于Linux系統自身,考慮Docker的安全性時,主要有:
(1)Linux內核的命名空間機制提供的容器隔離安全
啟動一個容器時,Docker將在后臺為容器創建一個獨立的命名空間,就是隔離,但是ns(namespace)的隔離不夠強,容器都是使用的同一個物理機的內核
(2)Linux控制組機制對容器資源的控制能力安全
啟動容器時,Docker將在后臺為容器創建一個獨立的控制組策略集合Cgroups,它負責分配記憶體、CPU、磁盤IO等,
(3)Linux內核的能力機制所帶來的操作權限安全
一般容器并不需要“真正的”root權限,只需要給某幾個必須的權限即可,還能實作白名單,
2、容器資源控制
接下來分別對memory、cpu和io進行控制
(1)memory
后臺運行容器,查看pid是11716
查看
在/sys/fs/cgroup中有許多的子目錄,分別控制每個資源,/sys/fs/cgroup/memory/下的這些變數是是物理機全句的控制
/sys/fs/cgroup/memory/docker是所有容器的控制
/sys/fs/cgroup/memory/docker/b6639de883cc006c8c05921b708264c9429a3158ec1e753b99dfb52c5fdb8a98是針對該11716容器的控制
并且這些變數具有繼承屬性,
/dev/shm掛載到tmpfs 默認是記憶體的一半,我們可以利用這個特性測驗控制memory
memory創建x1來測驗,修改memory的最大值為200M,
安裝libcgroup-tools工具,記憶體不夠用的話,還有swap磁區幫忙,為了不影響實驗效果,先關閉swap,free可以看到已經關閉swap,100M的塊使用記憶體時,可以成功;200M時就失敗了,這是因為控制x1的記憶體大小是200M
cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=100
cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=200
就算這個容器不用swap,其他容器頁可能用到swap,所以直接關掉swap不合適,再次打開swap,選擇記憶體和swap在一起的這個選項,控制總量為200M,cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=300失敗,且沒有用swap
(2)cpu
對于cpu優先級的控制:
建立x2目錄,cpu.shares 表示優先級,默認是1024,現在設定為100,大概是原來的十分之一,
后臺運行重復的命令,改行程號是16222,top查看現在cpu使用是百分之百,并把x2子目錄中的tasks中寫入16222,表示對16222進行控制,
再開啟一個行程,16365,top查看,二者的cpu占用基本是9比1,
對于cpu配額的控制:
cpu_period 表示總量,總數是100000; cpu_quota 表示配額,是-1時表示不控制策略,即總數是多少用多少,現在修改配額為總數的百分之二十,
關閉16222行程,只剩下16365,把16365匯入到tasks中,top查看,只占用了百分之二十
(3)io
docker run -it —rm -device-write-bps /dev/vda:30MB rel7 bash,–device-write-bps限制寫設備的bps速度為30M,oflag=direct表示,不通過記憶體到io設備,直接接入io設備,此時可以看到用了6.6秒,如果沒有這個oflag=direct引數,速度就很快,
3、安全加固
(1)利用LXCFS增強docker容器隔離性和資源可見性
[root@server1 lxcfs]# yum install -y lxcfs-2.0.5-3.el7.centos.x86_64.rpm %安裝插件
[root@server1 lxcfs]# lxcfs /var/lib/lxcfs & %運行
[root@server1 lxcfs]# docker run -it -m 256m \ %創建容器,記憶體限制為256MB
-v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
-v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
-v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
-v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
-v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
-v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
ubuntu
(2)設定特權級運行的容器
不加–privileged=true這個引數,無法關閉eth0,加了–privileged=true這個引數后,就可以關閉了
(3)設定容器白名單:–cap-add
但是上面是權限都給,有點不放心,我們想做到需要什么給什么,而不是直接都給,
加入–cap-add=NET_ADMIN這個引數,就可以控制網路ip的添加和洗掉了
(4)其他安全加固的思路
使用安全的基礎鏡像
洗掉鏡像中的setuid和setgid權限
啟用Docker的內容信任
最小安裝原則
對鏡像進行安全漏洞掃描,鏡像安全掃描器:Clair
容器使用非root用戶運行
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/290197.html
標籤:其他
上一篇:部署準備1