現代化小白也要嘗試的容器手札 - Docker 容器安全防堵對策

-

 Day22. Docker 容器安全防堵對策

容器安全防堵對策

Docker安全性的五個面向:

在開發階段,基於容器的應用程序時需要注重以下四個面向:

  • 通過支持Namespace和cgroup來保護kernel
  • 保護Docker Daemon(守護進程)
  • 容器配置檔案中可能的安全漏洞風險
  • 不必要的調整與清除

Docker Container安全技術部份會參照Linux Kernel,如下圖結構層級所示
https://ithelp.ithome.com.tw/upload/images/20200928/20025481H2p3TGsy9b.png

Namespace

https://ithelp.ithome.com.tw/upload/images/20200928/20025481cfoRFA5b8d.png

  • 內核Namespace本身是Linux的原生功能,可借重將內核資源隔離在不同的執行容器和程序間。
  • 當使用docker run建立容器時,就會在Linux宿主機上建立自己的Namespace與Cgroup。容器中執行程序在隔離的環境中會擁有自己專屬的資源集區。
  • Namespace會限制並隔離Container,讓跑在Container內的Process無法查看與宿主機的任何程序互動,同樣也不能查看其他的Container的程序互動(除非另外設置Docker network如:Link綁定)。
  • 每個容器彼此獨立,同時都自認為是個專屬的完整主機,內核Namespace提供Network stack隔離,故一個容器中執行的程序並無法存取到另一個容器的NNI(網路介面端口)和Socket。

補充以下Namespace個細節欄位代表的用途意義

  1. Process ID (PID):這裡指在 container 裡面的 PID。每個 container 都有自己的 PID namespace,所以假設 container_1 使用了 PID=1,那 container_2 也可以使用 PID=1,因為都在各自的 namespace,兩者不會互相干擾到。
  2. Network:每個 container 都有自己的 net namespace,所以 container 會有 virtual network interface,自己的 container 只能管理自己虛擬網卡的 IP、route table 等。
  3. Filesystem/Mount:每個 container 可以使用自己的 filesystem,例如:container_1 使用 xfs,container_2 使用 ext4。
  4. Inter-process Communication (IPC):container 裡面,process 間的溝通還是使用 Linux 的 IPC 方法,例如:signal、share memory 等。
  5. User:每個 container 都可以在 container 裡面建立自己的 user。
  6. UNIX Time-sharing System (UTS):每個 container 都擁有自己的 hostname 和 domain name,使其可以被視為一個獨立的網路節點而不是主機上的一個程序。

Cgroup

https://ithelp.ithome.com.tw/upload/images/20200928/20025481nC9uOqsCec.png
Cgroup是Linux的一項功能,可作為監視,限制正在執行程序資源的分配任務。
從Docker角度來看,Cgroup能確保執行中的容器間公平分配系統資源如:CPU,MEM,Disk Space,Disk I/O。
cgroups的限制功能可確保不允許單個容器通過耗盡可用資源來關閉系統。
它有效防禦阻斷服務DOS攻擊,確保平台服務模型正在執行容器的運作穩定時間。

Docker Daemon

https://ithelp.ithome.com.tw/upload/images/20200928/20025481lByjAPDAAI.jpg

  • Docker守護程序是在宿主機的主要程序服務,它可以偵測所有Docker API發來的需求來處理無論是Container,Volume等對象。當你執行任何容器時,就意味著Docker守護程序在後台背景持續運行,並接收處理各種作業動作。
  • Docker守護程序需要root用戶特權,並只允許受信任的用戶控制守護程序。
  • 應適當管理虛擬化後的檔案系統共享,以避免Docker容器可不受限制的變更主機檔案系統。
  • 將靜態服務佈建到容器時需謹慎用戶的身份驗證登入,以避免惡意執行可能的命令,如:任意建立,刪除容器等行為。
  • Docker守護程序開始使用Unix Domain Socket而非TCP端口來保護Docker其他端點。

Container file configuration

Feature removal

Docker守護程序需要一些Linux功能才能正常運行。它不需要所有Linux功能,而過多功能將更暴露了攻擊的弱點。
以下試試如何透過刪除以下功能來提高其安全性層級:

  • CAP_MAC_ADMIN:MAC配置和狀態更改權限。
  • CAP_MAC_OVERRIDE:Smack LSM的強制性訪問控制(MAC)替代。
  • CAP_SETPCAP:根進程可以設置另一個進程的功能。
  • CAP_SYS_NICE:修改其他進程的優先級。取消此功能是隔離容器的重要一步。
  • CAP_SYS_RESOURCE:覆蓋系統資源,並且可能影響cgroup。
  • CAP_SYS_TIME:不允許在docker容器執行程序間變更Linux環境的系統時間。
  • CAP_NET_ADMIN:此功能使進程可以配置引擎的網絡動態。
  • CAP_SYSLOG:由於Linux內核利用printk來記錄系統信息,因此這種能力的消除無疑是一大進步。
  • CAP_SYS_RAWIO:已刪除內核記憶體的修改,確保容器內進行惡意內核記憶體修改。

雖然是2017年的IT專欄發表,剖析很有深度,值得當作範本研究
專家深入剖析Docker容器常見攻擊手法與防護對策
https://ithelp.ithome.com.tw/upload/images/20200928/2002548102IiZd1e0I.jpg


1. 熱愛自己的工作,用技術服務客戶取得信賴,協銷推廣解決方案讓客戶的痛點無論是緩解或是治本都比賺錢更開心,利用拜訪或專案任務之餘到處探索當地新鮮事,也許是活動,也許是景點,但更多是美食。 2. 間歇運動與健康飲食的觀念讓自己保持活動力跟體態,讓自己感到舒服開心也可能感染周圍朋友也開始把心思關注自己的健康上。 3. 喜歡透過游泳來放鬆自我,尤其是水療跟蒸氣,目前蛙泳為主捷泳為輔,運動中心去過幾間泳池設施也有些利弊小心得。 4. 閱讀除了吸收新知外更重要可以沈澱心靈激發新想法,偏好商業策略,勵志心理或咖啡居多,都歡迎同好可以分享自己的想法. 5. 認真接觸咖啡後探索精品咖啡的美好,小小入手英國咖啡調配師認證,了解的越多越想自己著手,生豆挑豆烘豆萃取自己來,用過幾個萃取設備如:冰滴,法濾,塞風,手沖,義式濃縮,拿鐵等各有各的風味喜好,不過當然每天都喝還是手沖為主,咖啡同好可以一同參與探索各式咖啡廳精品風味.

留言

張貼留言

這個網誌中的熱門文章

<重要> 加密貨幣 Token 投資警示分享

-
圖片
  發生的一個加密貨幣Token投資的小故事 最近區塊鏈,加密貨幣一直是現在趨勢潮流的新寵兒,無論朋友的有心或無意,在健康智能手錶傳輸個人健康數據,讓你可以在非常舒適無腦的狀態下,搭上近期就要公開發行上市的貨幣Token就能享受高額翻好幾倍的獲利. 這夢真的很美好,無論是號稱買錶送3000個Token又或是想發橫財買Token送錶都好,一個Token發行上市一美元,襪靠!馬上噱翻基本就接近九萬獲利,如果成長個十倍一百倍呢?我真的成了大富翁啦!來來來繼續加碼買就對了! 不過我想說的是要是這麼好賺,自己買好買滿不就得了!自己賺飽不好還留個別人這真的需要頒發一下慈善家的匾額了呢?也看到客服中心回覆交易的歷程記錄如下>>> 秉持著平時老派僵固固執且好奇的工程師思維,看完給我的產品介紹影片半小時,其實我只看了十分鐘,因為講的行銷人的大數據經濟獲利模式你我的懂,就直接忽略了!直接看關鍵字交叉查詢這間公司,手錶產品就有不小的負面聲音!看看錶的價格丟回比價王與蝦皮賣場根本直接低價出售. 沒關係!庵醉翁意不在酒,可是那背後白花花可以海噱獲利的白銀阿!我又繼續看既然這麼值錢應該要在熱度信任度高的交易所吧! 加密貨幣價格、圖表和市值 這網站集結所有的加密貨幣與交易所,包含信任平等與交易熱度趨勢等等,資訊非常豐富且交易所高達450+,基本上我應該要來看看這Token要能交易的所在地的名次評等如何!滿懷欣喜,眼睛為之一亮的心情來瞧瞧!! 先來看看TOP10的排名有誰,恩恩!幣安果然是目前的王者阿!真的令人咎安心 再繼續往下滑真的好幾頁都翻破100名之外了!其實止滑了兩三頁真的受不了直接搜尋,靠!我到底看到了甚麼??早就已經下架了也!根本就沒有拿到畢業證書嘛!還排畢業成績的名次哩 又意外發現到這線上區塊鏈的論壇早有對此交易平台的負評..... 以太坊區塊鏈的線上評論代幣平台 我不想特別公佈公司,產品等相關影片資訊,希望保有朋友可能也被蒙在鼓裡最後一絲絲的善良,但希望再聽到此交易所,此類Token又或是之後換個包裝說法故事又在騙一波!大多數包括我自己都是平凡人賺辛苦錢,切記天下沒有白吃的午餐!一定要再三查證三思後行!
閱讀完整內容

對於跑者膝患部發炎,使用微波,向量干擾與低能雷射,分別是有哪些復原功效

-
這三種物理治療方法針對跑者膝(髕骨股骨疼痛綜合症或膝部炎症)有不同的作用機制和復原效果: 1. 微波治療 原理 :透過高頻電磁波(微波)將能量傳遞至深層組織,產生熱效應,促進血液循環和新陳代謝。 功效 : 減少肌肉緊張和關節僵硬。 加速發炎組織的修復。 增強局部血流供應,幫助清除炎症產物。 適用情況 :對於慢性炎症和緊繃的肌肉效果較佳,通常適合穩定期的跑者膝治療。 2. 向量干擾電療(Interferential Current Therapy, IFC) 原理 :利用不同頻率的電流在交會處形成深層干擾電流,刺激深層肌肉和神經。 功效 : 緩解疼痛:刺激神經系統,阻斷疼痛傳遞("閘門理論")。 減少腫脹:改善淋巴循環和消腫作用。 放鬆肌肉:幫助減少膝部周圍肌肉的痙攣或緊繃。 適用情況 :對於急性期的疼痛緩解效果明顯,尤其是炎症引起的疼痛。 3. 低能量雷射治療(Low-Level Laser Therapy, LLLT) 原理 :利用低能量雷射刺激細胞線粒體,促進細胞修復和新生,並減少發炎。 功效 : 減少發炎:抑制炎症反應的細胞因子釋放。 加速癒合:刺激膠原蛋白的生成和組織修復。 緩解疼痛:改善神經功能並減少疼痛訊號的傳遞。 適用情況 :對於慢性炎症和細胞層面的修復有顯著效果,通常用於促進組織恢復。 綜合建議 急性期(疼痛明顯、腫脹) :向量干擾電療更適合快速緩解疼痛和腫脹。 亞急性期(炎症減輕但仍有不適) :微波治療有助於改善血循和舒緩僵硬。 慢性期(反覆發炎或康復期) :低能量雷射是理想選擇,可促進細胞修復。 每種治療有其適用時機,建議與物理治療師討論,根據炎症階段和個人情況選擇最合適的方法。
閱讀完整內容

現代化小白也要嘗試的容器手札 - Docker Swarm 新手上路

-
圖片
  Day23. Docker Swarm 新手上路 Docker Swarm新手入門 前面說了一堆Docker知識,一路走到了這,快要進入的一個與K8s批敵的重頭戲Docker Swarm,不過我們首先要了解Docker Swarm的意義? 我們有注意到,前面的所有示範的容器其實都只有跑在一台宿主機上面,那萬一主機掛了呢? OK,我想你我大概也猜到了,沒錯,Docker Swarm 簡單說就是可以在多個宿主機上來管理容器的一種管理工具。 透過Docker Swarm,用戶可以非常容易的部署應用程式到任何一台宿主機上面,此外,假始其中一台宿主機離開人世了,也會立刻找一台最佳的宿主機上來啟動新的容器。 了解完定義後也要知道能實際帶給我們什麼樣的好處 Scaling自動擴展 Scaling本身概念簡單,也是雲端能帶來的其中一項價值所需,當回應需求服務數量或 連線流量過大時,能透過自動擴展機制一次啟動多個相應的服務同時處理需求回應與因應流量,直到流量或需求恢復正常,就可以透過縮容來減少服務數量,以節省主機成本。 Load Balacning負載平衡 當流量進到Docker Swarm的服務中,會透過像輪詢( Round Robin )的機制去把進來的流量做分流,也就是輪流把流量送到各服務去,舉例第一個進來給A容器,第二個進來給B容器,第三個進來再給A,以此類推... Service Discovery服務探索 在Docker swarm中每個服務都可以定義自己服務獨有的DNS,而接下來就可以讓其他容器透過自訂的DNS來使用服務。 啟動Docker Swarm前需要了解的兩個重要角色 Manager管理叢集 目的就是負責來管理叢集的宿主機,並調用安排每個需要的服務容器應該要被放在哪一台來做啟動,當服務停止時也要負責啟動服務容器使之正常來做服務的提供。 Worker Nodes工作節點 Node翻譯成節點,簡單說就是代表一台台的宿主機,而執行Service的地方就是在任意的Node節點上。 示範Docker Swarm部署 示範主機是在Google Cloud上的兩台Ubuntu docker1 version 19.03.6 IP:10.100.1.2 docker2 version 19.03.6 IP:10.100.1.3 前置作業 測試雙方的標的主機網路要能互...
閱讀完整內容