docker run:–security-opt seccomp=unconfined选项解析 (安全计算模式Sec
Docker 安全性: 理解和使用--security-opt seccomp=unconfined选项Docker 提供了许多安全性功能,其中一个紧张的是通过Seccomp (Secure Computing Mode)实现体系调用过滤。本文将具体先容如何使用 --security-opt seccomp=unconfined选项,并解析其寄义。
目录
1. Docker与安全性
Docker 的一个主要上风是能够将应用程序及其依靠项隔离起来,使其在单独的容器中运行1。但是,这并不意味着容器本身就是完全安全的。为了确保更高的安全性,Docker 提供了一些选项,包罗 --security-opt 选项,可以用来设置安全设置。
docker run --security-opt option=value ...
2. Seccomp简介
Seccomp,即安全计算模式,是 Linux 内核的一部分,用于限定进程可以使用的体系调用2。通过禁止或限定对某些体系调用的访问,Seccomp 可以有效淘汰攻击者能够利用的攻击面。
Docker 在默认情况下启用了 Seccomp,并提供了一个默认的设置文件,该文件白名单了约莫300个体系调用,其他的则被禁止。这意味着在 Docker 容器中运行的进程只能访问这些已经过滤的体系调用。
Docker Seccomp默认设置中允许和禁止的体系调用示例
在Docker默认的Seccomp设置中,约莫有300个被允许的体系调用。这些调用涵盖了大部分正常应用程序需要的功能,如文件操作(open, read, write等)、进程管理(fork, execve等)、内存管理(mmap, brk等)等。
以下是一些被Docker默认设置允许的体系调用示例:
[*]read
[*]write
[*]open
[*]close
[*]stat
[*]fstat
[*]lstat
[*]poll
[*]lseek
[*]mmap
[*]mprotect
[*]munmap
[*]brk
[*]rt_sigaction
[*]rt_sigprocmask
[*]ioctl
[*]pread64
[*]pwrite64
[*]readv
[*]writev
[*]access
[*]pipe
[*]select
[*]sched_yield
[*]mremap
[*]msync
[*]mincore
[*]madvise
[*]shmget
[*]shmat
[*]shmctl
[*]dup
[*]dup2
[*]pause
[*]nanosleep
[*]getitimer
[*]alarm
[*]setitimer
[*]getpid
[*]sendfile
[*]socket
[*]connect
[*]accept
[*]sendto
[*]recvfrom
[*]sendmsg
[*]recvmsg
[*]shutdown
[*]bind
[*]listen
[*]getsockname
[*]getpeername
[*]socketpair
[*]setsockopt
[*]getsockopt
[*]clone
[*]fork
[*]vfork
[*]execve
[*]exit
[*]wait4
[*]kill
[*]uname
这是一个非详尽的列表,仅供参考。对于完整的列表,可以参考Docker的Seccomp默认设置文件1。
同时,一些大概被恶意利用的体系调用被禁止。例如,以下是一些被禁止的体系调用:
[*]ptrace:此体系调用常常用于调试和分析,但也可以被用来修改运行中的程序,因此大概被恶意利用。
[*]kexec_load:此体系调用允许加载并启动新的内核,由于这可以绕过在容器外部施加的各种限定,所以通常被禁止。
[*]open_by_handle_at:此体系调用允许打开一个由文件handle指定的文件,但由于handle大概泄漏关于主机文件体系的信息,因此通常被禁止。
[*]init_module, finit_module, delete_module:这些体系调用允许加载和卸载内核模块,由于这可以改变操作体系的基本行为,所以通常被禁止。
这只是被禁止的体系调用的一小部分。具体哪些体系调用被禁止,取决于你的Docker版本和Seccomp设置。
3. --security-opt seccomp=unconfined详解
在某些情况下,大概需要在 Docker 容器中实验一些非白名单内的体系调用。为此,Docker 提供了 --security-opt seccomp=unconfined选项,它可以取消 Seccomp 的限定,使容器内的进程可以访问全部体系调用。
docker run --security-opt seccomp=unconfined ...
这个命令将完全关闭Seccomp保护,因此在容器中的进程将具有对全部体系调用的完全访问权限。
4. 示例:在容器中使用--security-opt seccomp=unconfined
以下是一个使用 --security-opt seccomp=unconfined选项运行 Docker 容器的例子。这个示例基于ubuntu镜像生成容器,并在容器中运行一个简朴的 bash shell:
docker run -it --rm --security-opt seccimp=unconfined ubuntu bash
在上述命令中,-it 选项启用了交互式终端,--rm 选项确保在退出时删除容器,而 --security-opt seccomp=unconfined 则关闭了 Seccomp。
5. 风险与告诫
虽然 --security-opt seccomp=unconfined选项可以提供更大的机动性,但也带来了一些风险。禁用 Seccomp 意味着容器内的进程可以访问全部体系调用,包罗那些大概被利用来实验恶意操作的体系调用3。
因此,除非有特殊的理由,否则不应在生产情况中使用 --security-opt seccomp=unconfined选项。假如必须使用,应确保其他安全步伐(如用户权限管理和网络隔离)已经就位。
6. 总结
总的来说,Docker 的 --security-opt seccomp=unconfined选项是一个强大的工具,可以提供更大的机动性。然而,与此同时,也应留意其潜在的风险,尤其是在生产情况中。
在使用此选项时,应始终遵循最佳安全实践,并确保已经实施了其他安全步伐。只有如许,才能确保 Docker 容器在提供便利的同时,也能提供足够的安全性。
[*]Docker Overview ↩︎ ↩︎
[*]Seccomp security profiles for Docker ↩︎
[*]Understanding and Hardening Linux Containers ↩︎
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]