容器安全加固
Docker容器的安全性,很大程度上依賴于Linux系統自身,評估Docker的安全性時,主要考慮以下幾個方面∶
●Linux內核的命名空間機制提供的容器隔離安全
●Linux控制組機制對容器資源的控制能力安全。
●Linux內核的能力機制所帶來的操作權限安全
●Docker程序(特別是服務端)本身的抗攻擊性。
●其他安全增強機制對容器安全性的影響。
在使用 docker 運行容器時,默認的情況下,docker沒有對容器進行硬件資源的限制,當一臺主機上運行幾百個容器,這些容器雖然互相隔離,但是底層卻使用著相同的 CPU、內存和磁盤資源。如果不對容器使用的資源進行限制,那么容器之間會互相影響,小的來說會導致容器資源使用不公平;大的來說,可能會導致主機和集群資源耗盡,服務完全不可用。
docker 作為容器的管理者,自然提供了控制容器資源的功能。正如使用內核的 namespace 來做容器之間的隔離,docker 也是通過內核的 cgroups 來做容器的資源限制;包括CPU、內存、磁盤三大方面,基本覆蓋了常見的資源配額和使用量控制
1. 命名空間隔離的安全
當docker run啟動一個容器時,Docker將在后臺為容器創建一個獨立的命名空間。命名空間提供了最基礎也最直接的隔離,它不能進行一個完全徹底的隔離。
容器只是運行在宿主機上的一種特殊的進程,那么多個容器之間使用的就還是同一個宿主機的操作系統內核。
在 Linux 內核中,有很多資源和對象是不能被 Namespace 化的,比如:時間。
總結
- 上一篇: 设备类型分类
- 下一篇: Sql Server常用命令整理篇:生成