Docker 安全性: 理解和使用--security-opt seccomp=unconfined选项
Docker 提供了许多安全性功能,其中一个紧张的是通过Seccomp (Secure Computing Mode)实现体系调用过滤。本文将具体先容如何使用 --security-opt seccomp=unconfined选项,并解析其寄义。
目录
1. Docker与安全性
Docker 的一个主要上风是能够将应用程序及其依靠项隔离起来,使其在单独的容器中运行1。但是,这并不意味着容器本身就是完全安全的。为了确保更高的安全性,Docker 提供了一些选项,包罗 --security-opt 选项,可以用来设置安全设置。
- docker run --security-opt option=value ...
Seccomp,即安全计算模式,是 Linux 内核的一部分,用于限定进程可以使用的体系调用2。通过禁止或限定对某些体系调用的访问,Seccomp 可以有效淘汰攻击者能够利用的攻击面。
Docker 在默认情况下启用了 Seccomp,并提供了一个默认的设置文件,该文件白名单了约莫300个体系调用,其他的则被禁止。这意味着在 Docker 容器中运行的进程只能访问这些已经过滤的体系调用。
Docker Seccomp默认设置中允许和禁止的体系调用示例
在Docker默认的Seccomp设置中,约莫有300个被允许的体系调用。这些调用涵盖了大部分正常应用程序需要的功能,如文件操作(open, read, write等)、进程管理(fork, execve等)、内存管理(mmap, brk等)等。
以下是一些被Docker默认设置允许的体系调用示例:
- read
- write
- open
- close
- stat
- fstat
- lstat
- poll
- lseek
- mmap
- mprotect
- munmap
- brk
- rt_sigaction
- rt_sigprocmask
- ioctl
- pread64
- pwrite64
- readv
- writev
- access
- pipe
- select
- sched_yield
- mremap
- msync
- mincore
- madvise
- shmget
- shmat
- shmctl
- dup
- dup2
- pause
- nanosleep
- getitimer
- alarm
- setitimer
- getpid
- sendfile
- socket
- connect
- accept
- sendto
- recvfrom
- sendmsg
- recvmsg
- shutdown
- bind
- listen
- getsockname
- getpeername
- socketpair
- setsockopt
- getsockopt
- clone
- fork
- vfork
- execve
- exit
- wait4
- kill
- uname
这是一个非详尽的列表,仅供参考。对于完整的列表,可以参考Docker的Seccomp默认设置文件1。
同时,一些大概被恶意利用的体系调用被禁止。例如,以下是一些被禁止的体系调用:
- ptrace:此体系调用常常用于调试和分析,但也可以被用来修改运行中的程序,因此大概被恶意利用。
- kexec_load:此体系调用允许加载并启动新的内核,由于这可以绕过在容器外部施加的各种限定,所以通常被禁止。
- open_by_handle_at:此体系调用允许打开一个由文件handle指定的文件,但由于handle大概泄漏关于主机文件体系的信息,因此通常被禁止。
- init_module, finit_module, delete_module:这些体系调用允许加载和卸载内核模块,由于这可以改变操作体系的基本行为,所以通常被禁止。
这只是被禁止的体系调用的一小部分。具体哪些体系调用被禁止,取决于你的Docker版本和Seccomp设置。
3. --security-opt seccomp=unconfined详解
在某些情况下,大概需要在 Docker 容器中实验一些非白名单内的体系调用。为此,Docker 提供了 --security-opt seccomp=unconfined选项,它可以取消 Seccomp 的限定,使容器内的进程可以访问全部体系调用。
- docker run --security-opt seccomp=unconfined ...
4. 示例:在容器中使用--security-opt seccomp=unconfined
以下是一个使用 --security-opt seccomp=unconfined选项运行 Docker 容器的例子。这个示例基于ubuntu镜像生成容器,并在容器中运行一个简朴的 bash shell:
- docker run -it --rm --security-opt seccimp=unconfined ubuntu bash
5. 风险与告诫
虽然 --security-opt seccomp=unconfined选项可以提供更大的机动性,但也带来了一些风险。禁用 Seccomp 意味着容器内的进程可以访问全部体系调用,包罗那些大概被利用来实验恶意操作的体系调用3。
因此,除非有特殊的理由,否则不应在生产情况中使用 --security-opt seccomp=unconfined选项。假如必须使用,应确保其他安全步伐(如用户权限管理和网络隔离)已经就位。
6. 总结
总的来说,Docker 的 --security-opt seccomp=unconfined选项是一个强大的工具,可以提供更大的机动性。然而,与此同时,也应留意其潜在的风险,尤其是在生产情况中。
在使用此选项时,应始终遵循最佳安全实践,并确保已经实施了其他安全步伐。只有如许,才能确保 Docker 容器在提供便利的同时,也能提供足够的安全性。
- Docker Overview ↩︎ ↩︎
- Seccomp security profiles for Docker ↩︎
- Understanding and Hardening Linux Containers ↩︎
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
