Docker安全管理—-TLS(安全认证)

一、Docker 容器与虚拟机的区别

1.隔离与共享

虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立 虚拟机,每个虚拟机都有自己的系统内核。
而 Docker 容器则是通过隔离的方式,将文件系 统、进程、设备、网络等资源进行隔离,再对权限、CPU 资源等进行控制,最终让容器之间互不影响,
容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。

docker容器共享同一个内核资源,而虚拟机是独立的使用的资源都是独立的。

2.性能与损耗

与虚拟机相比,容器资源损耗要少。 同样的宿主机下,能够建立容器的数量要比虚拟 机多。但是,虚拟机的安全性要比容器稍好,
要从虚拟机破到宿主机或其他虚拟机,需要 先破 Hypervisor 层,这是极其困难的。而 docker 容器与宿主机共享内核、文件系统等资源,
更有可能对其他容器、宿主机产生影响。

与虚拟机相比容器消耗资源要少的多,因为容器是共享内核的意味着,一个容器资源占用多,其他容器占用的就少,一个容器出现问题,其他容器都会出现问题,因此虚拟机安全性要比容器好

二、Docker 存在的安全问题

1.Docker 自身漏洞

作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。
常用的手段主要有

代码执行、权限提升、 信息泄露、权限绕过等。目前 Docker 版本更迭非常快,
Docker 用户最好将 Docker 升级为 最新版本。

2. Docker 源码问题

Docker 提供了 Docker hub,可以让用户上传创建的镜像,以便其他用户下载,快速搭 建环境。但同时也带来了一些安全问题。例如下面三种方式:
(1)上传恶意镜像 如果有在制作的镜像中植入、后门等恶意软件,那么环境从一开始就已经不安全了,后续更没有什么安全可言。

(镜像可能存爱*软件和病毒)

(2)镜像使用有漏洞的软件 Docker Hub 上能下载的镜像里面,75%的镜像都安装了有漏洞的软件。所以下载镜像后,
需要检查里面软件的版本信息,对应的版本是否存在漏洞,并及时更新打上补丁。

(老版本的镜像中环境有问题)

(3)中间人篡改镜像 镜像在传输过程中可能被篡改,目前新版本的 Docker 已经提供了相应的校验机制来预 防这个问题。
你上传的镜像被中间人劫持,篡改,这个时候你需要TLS安全证书,docker容器去找docker服务器做安全认证

三、Docker 架构缺陷与安全机制

Docker 本身的架构与机制就可能产生问题,例如这样一种场景,已经控制了宿主机上的一些容器,或者获得了通过在公有云上建立容器的方式,然后对宿主机或其他容器发起***。

**1. 容器之间的局域网*

主机上的容器之间可以构成局域网,因此针对局域网的 ARP 欺骗、嗅探、广播风暴等 方式便可以用上。
所以,在一个主机上部署多个容器需要合理的配置网络,设置 iptable 规则。

**2. DDoS *耗尽资源

Cgroups 安全机制就是要防止此类的,不要为单一的容器分配过多的资源即可避免此类问题。

3. 有漏洞的系统调用
Docker与虚拟机的一个重要的区别就是Docker与宿主机共用一个操作系统内核。
一旦宿主内核存在可以越权或者提权漏洞,尽管Docker使用普通用户执行,在容器被时,者还可以利用内核漏洞跳到宿主机做更多的事情。

4. 共享root用户权限
如果以 root 用户权限运行容器,容器内的 root 用户也就拥有了宿主机的root权限。

四、Docker 安全基线标准

下面从内核、主机、网络、镜像、容器以及其它等 6 个方 面总结 Docker 安全基线标准。
1.内核级别
(1)及时更新内核。
(2)User NameSpace(容器内的 root 权限在容器之外处于非高权限状态)。
(3)Cgroups(对资源的配额和度量)。
(4)SELiux/AppArmor/GRSEC(控制文件访问权限)。
(5)Capability(权限划分)。
(6)Seccomp(限定系统调用)。
(7)禁止将容器的命名空间与宿主机进程命名空间共享。

2.主机级别
(1)为容器创建独立分区。
(2)仅运行必要的服务。
(3)禁止将宿主机上敏感目录映射到容器。
(4)对 Docker 守护进程、相关文件和目录进行审计。
(5)设置适当的默认文件描述符数。
(文件描述符:内核(kernel)利用文件描述符(file descriptor)来访问文件。文件描述符是非负整数。
打开现存文件或新建文件时,内核会返回一个文件描述符。读写文件也需要使用文件描述符来指定待读写的文件)
(6)用户权限为 root 的 Docker 相关文件的访问权限应该为 644 或者更低权限。
(7)周期性检查每个主机的容器清单,并清理不必要的容器。

3.网络级别
(1)通过 iptables 设定规则实现禁止或允许容器之间网络流量。
(2)允许 Dokcer 修改 iptables。
(3)禁止将 Docker 绑定到其他 IP/Port 或者 Unix Socket。
(4)禁止在容器上映射特权端口。
(5)容器上只开放所需要的端口。
(6)禁止在容器上使用主机网络模式。
(7)若宿主机有多个网卡,将容器进入流量绑定到特定的主机网卡上。

4.镜像级别
(1)创建本地镜像仓库服务器。
(2)镜像中软件都为最新版本。
(3)使用可信镜像文件,并通过安全通道下载。
(4)重新构建镜像而非对容器和镜像打补丁。
(5)合理管理镜像标签,及时移除不再使用的镜像。
(6)使用镜像扫描。
(7)使用镜像签名。

5.容器级别
(1)容器最小化,操作系统镜像最小集。
(2)容器以单一主进程的方式运行。
(3)禁止 privileged 标记使用特权容器。
(4)禁止在容器上运行 ssh 服务。
(5)以只读的方式挂载容器的根目录系统。
(6)明确定义属于容器的数据盘符。
(7)通过设置 on-failure 限制容器尝试重启的次数,容器反复重启容易丢失数据。
(8)限制在容器中可用的进程树,以防止 fork bomb。(fork,迅速增长子进程,耗尽系统进程数量)

6.其他设置
(1)定期对宿主机系统及容器进行安全审计。
(2)使用最少资源和最低权限运行容器。
(3)避免在同一宿主机上部署大量容器,维持在一个能够管理的数量。
(4)监控 Docker 容器的使用,性能以及其他各项指标。
(5)增加实时不安全的检测和事件响应功能。
(6)使用中心和远程日志收集服务

Docker安全规则

容器最小化

如果仅在容器中运行必要的服务,像SSH等服务是不能轻易开启去连接容器的,通常使用以下方式来进入容器
docker exec -it  bash

docker api 访问控制

docker的远程调用API接口存在未授权访问漏洞
[[email protected] ~]# vim /usr/lib/systemd/system/docker.service
绑定unix通过docker,sock文件重新连接,-H绑定你的tcp端口,和地址
14 行
ExecStart=/usr/bin/dockerd -H unix:///var/run/docker.sock -H tcp://192.168.136.186:2323
[[email protected] ~]# systemctl daemon-reload
[[email protected] ~]# systemctl restart docker
#永久配置,富语言规则,源地址,指定tcp端口,2323
[[email protected] ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.136.186" port protocol="tcp" port="2323" accept"
#重启防火墙
[[email protected] ~]# firewall-cmd --reload
success

限制流量流向

防火墙的规则,外部的流量到内部会有控制,但是容器访问外面,防火墙会给这个请求一个序列号,当它回来的时候直接被防火墙信任,这个就存在了隐患
永久配置,指定public区域,对ipv4的地址进行管控,写上容器的地址,拒绝
[[email protected] ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.136.0/24" reject"
success
[[email protected] ~]# firewall-cmd --reload
success

使用普通用户启动docker服务

使用用户映射,解决特定容器中的用户0在宿主系统上等于root的问题,LXC允许重新映射用户和组ID
#使用用户映射,对root用户创建一个虚拟用户,等同于宿主系统上的root权限

文件系统限制

挂载的容器根目录绝对只读,而且不同容器对应的文件目录权限分离,优化每个容器在宿主上有单独分区

su test01
docker run -v dev:/home/mc_server/test01 -it centos:latest /bin/bash
su test02
docker run -v dev:/home/mc_server/test02 -it centos:latest /bin/bash

镜像安全

一般情况下,确保只从受信任的库中获取镜像,并且不要使用–insecure-registry=[]参数

这种证书验证只能确定你的身份是不是安全的,但是镜像安全保障不了

Docker client端与Docker Daemon的通信安全

为了放置链路劫持、会话保持等问题导致Docker通信时被中间人***,c/s两端应该通过加密方式通讯

[[email protected] harbor]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H=0.0.0.0:2376

资源控制

资源,既可以降低安全风险,也不影响业务

docker run -tid -name ec2 -cpuset-cpus 3 -cpu-shares 2048 -memory 2048m -rm -blkio-weight 100 --pids--limit 512

宿主机及时升级内核漏洞

docker容器支持热迁移,但是要注意迁移和的IP地址,安装安全加固,使用内核补丁

避免docker容器消息泄露

检查dockerfile中制造镜像,比如ssh有没有开启,镜像有没有问题

日志分析

收集并归档与Docker相关的安全日志来达到审核和监控的目的,使用rsyslog或stdout+ELK的方式进行日志收集、存储与分析
在宿主上使用一下命令在容器外部访问日志文件

docker run -v /dev/log:/dev/log <container_name> /bin/sh #做数据卷

Docker内置命令
docker logs -f

Docker Bench for Security

是一个脚本,用于检查生产环境中部署Docker容器的几十个常见的最佳实践
环境安装
下载二进制文件后,将其添加到环境变量PATH中

[[email protected] ]# git clone
https://github.com/docker/docker-bench-security.git
[[email protected] ]# cd docker-bench-security
[[email protected] ]# sudo sh docker-bench-security.sh

ulimit

可对包括core dump文件大小、进程数据段的大小、课创建文件的大小、常驻内存集大小、打开文件数、进程栈的大小、CPU时间、单个用户的最大线程数、进程的最大虚拟内存等类型的资源起到限制作用
设置CPU时间

docker daemon --default-ulimit cpu=1200
docker run --rm -ti --ulimit cpu=1200 ubuntu bash

##进入容器后查看

ulimit -t

docker-tls 加密通讯

为了防止链路劫持,会话保持等问题导致docker通信被中间人***,c/s两端应该通过加密方式通讯

[[email protected] ~]# hostnamectl set-hostname master
[[email protected] ~]# su
[[email protected] ~]# vim /etc/hosts
127.0.0.1  master
[[email protected] ~]# mkdir /tls
[[email protected] ~]# cd /tls/
//创建ca秘钥
[[email protected] tls]# openssl genrsa -aes256 -out ca-key.pem 4096
//创建ca证书
[[email protected] tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pen
//创建服务器私钥
[[email protected] tls]# openssl genrsa -out server-key.pem 4096
//签名私钥
[[email protected] tls]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
//使用ca证书与私钥证书签名、输入123123
[[email protected] tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pen -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
//生成客户端秘钥
[[email protected] tls]# openssl genrsa -out key.pem 4096
//签名客户端
[[email protected] tls]# openssl req -subj "/CN=client" -new -key key.pem -out client.csr
//创建配置文件
[[email protected] tls]# echo extendedKeyUsage=clientAuth > extfile.cnf
//签名证书,输入123123需要(签名客户端、ca证书、ca秘钥)
[[email protected] tls]# openssl x509 -req -days 1800 -sha256 -in client.csr -CA ca.pen -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
//删除多余文件
[[email protected] tls]# rm -rf ca.srl client.csr extfile.cnf server.csr
//配置docker
[[email protected] tls]# vim /lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/tls/ca.pen --tlscert=/tls/server-cert.pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix://var/run/docker.sock
//重启进程
[[email protected] tls]# systemctl daemon-reload
//重启服务
[[email protected] tls]# systemctl restart docker

//将/tls/ca.pen /tls/cert.pem /tls/key.pem三个文件复制到另一台主机
[[email protected] tls]# scp ca.pen [email protected]:/etc/docker
[[email protected] tls]# scp cert.pem [email protected]:/etc/docker
[[email protected] tls]# scp key.pem [email protected]:/etc/docker 

[[email protected] ~]# hostnamectl set-hostname client
[[email protected] ~]# su
[[email protected] ~]# vim /etc/hosts
192.168.45.129 master

#client上测试
[[email protected] docker]# docker --tlsverify --tlscacert=ca.pen --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version

原文地址:https://blog.51cto.com/14475593/2468076

时间: 2024-11-11 20:09:39

Docker安全管理—-TLS(安全认证)的相关文章

Docker配置TLS认证,修复因暴露2375端口引发漏洞

1.环境准备 # 查看Docker服务器主机名hostnamectl 这里记住我的主机名s130就好 # 静态主机名修改vi /etc/hostname# 临时主机名修改(重启失效)hostname s130   2.创建TLS证书 创建create_crets.sh文件并执行,生成的证书在/certs/docker目录下, # create_crets.sh,将[证书生成脚本]内容复制进去touch create_crets.sh chmod 755 create_crets.sh # 证书生

Docker安全管理

Docker安全管理--理论+操作 -------------------------------------------------Docker 容器与虚拟机的区别------------------------------------------------------ **1.隔离与共享** 虚拟机通过添加 Hypervisor 层,虚拟出网卡.内存.CPU 等虚拟硬件,再在其上建立 虚拟机,每个虚拟机都有自己的系统内核. 而 Docker 容器则是通过隔离的方式,将文件系 统.进程.设备

FTP服务学习笔记之ssl/tls安全认证配置(3)

在Redhat5.8_X64bit上配置 一.实验说明 操作系统:Redhat5.8_x64bit 实验平台:VMware Workstation 实验目的:配置ftp基于ssl/tls安全认证 二.实验步骤如下: 1.安装vsftpd #yum install vsftpd #rpm -ql vsftpd #service vsftpd start #chkconfig vsftpd on 2.配置CA #cd /etc/pki/CA #mkdir certs newcerts crl #to

SSL/TLS双向认证案例参考

一.首先我们需要生成服务器端和客户端的数字证书并添加信任 实际应用环境里,需要向CA机构申请服务器证书.这里我们为了测试方便通过Keytool工具生成自签名证书来模拟. 注:相关参数说明请使用 keytool -help 查阅 1. 生成服务器端证书 keytool -genkey -v -keyalg RSA -keysize 1024 -sigalg SHA1withRSA -validity 36000 -alias www.alan.org -keystore alan.keystore

基于mosquitto的MQTT服务器---SSL/TLS 单向认证+双向认证

基于mosquitto的MQTT服务器---SSL/TLS 单向认证+双向认证 摘自:https://blog.csdn.net/ty1121466568/article/details/81118468 2018年07月19日 16:51:57 曾来过 阅读数:1632 本文为参考网上其他博文搭建出服务器后的步骤记录,如有冒犯,请私信!!! 目录... 3 第 1 章 安装Mosquitto. 4 1.1 方法一:手动编译安装... 4 1.2方法二:在Ubuntu下使用apt-get安装..

[ipsec][crypto] ike/ipsec与tls的认证机制比较

前言 接上篇:[ipsec][crypto] 有点不同的数字证书到底是什么 本篇内容主要是上一篇内容的延伸.抽象的从概念上理解了证书是什么之后,我们接下来 从实践的角度出发,以IKEv2和TLS两个协议为例子,熟悉一下数字证书认证在协议上的实现. author: classic_tong, date:20190914 一 IKE 我是利用strongswan来搭建的这样的实验环境的.协商双方配置为使用证书的方式. 为此我自签名了一个根证书,并为IKE双方各自签名了其证书. 生成自签名的证书的方法

Docker安全管理(实战!!!)

Docker安全 Docker与虚拟机的区别 隔离与共享 虚拟机通过添加 Hypervisor 层,虚拟出网卡.内存.CPU 等虚拟硬件,再在其上建立 虚拟机,每个虚拟机都有自己的系统内核 Docker 容器则是通过隔离的方式,将文件系统.进程.设备.网络等资源进行隔离,再对权限.CPU 资源等进行控制,最终让容器之间互不影响,容器无法影响宿主机.容器与宿主机共享内核.文件系统.硬件等资源. 性能和损耗 与虚拟机相比,容器资源损耗要少. 同样的宿主机下,能够建立容器的数量要比虚拟 机多. 但是,

Docker私有仓库Registry认证搭建

前言: 首先,Docker Hub是一个很好的用于管理公共镜像的地方,我们可以在上面找到想要的镜像(Docker Hub的下载量已经达到数亿次):而且我们也可以把自己的镜像推送上去.但是,有的时候我们的使用场景需要拥有一个私有的镜像仓库用于管理自己的镜像,这个时候我们就通过Registry来实现此目的.本文详细介绍了本地镜像仓库Docker Registry及Auth Server认证搭建. 集群环境: 系统 主机名 IP地址(Host-Only) 描述 Centos7.2.1511 contr

docker私有仓库(认证功能)

搭建docker私有仓库,带认证功能,记录如下: 1.创建对应的目录 mkdir -p /data/registry/ && cd /data/registry/ && mkdir auth certs 2.创建密码文件 cd /data/registry/ docker run --entrypoint htpasswd daocloud.io/registry:2.2 -Bbn ttxsgoto ttxsgoto > auth/htpasswd 3.生成签名证书