Запуск докеров надежно

Question

Я понимаю, что для докеры-демона требуется runs as root, поэтому мне говорят, что это может привести к некоторым последствиям для безопасности, например, если контейнер был взломан, злоумышленники могут вносить изменения в системные файлы хоста.

Какие меры предосторожности можно принять для уменьшения ущерба в случае нападения?

Есть ли практика, которую я должен знать при запуске демона докеров? Я думал о том, что у вас есть бродяга, чтобы запустить vm, и вместо этого у docker запускается vm.

Answer 1

Основным источником информации, касающейся практики безопасности докеров, является страница «Docker security».

только доверенные пользователи должны иметь возможность контролировать свой Docker демон.
Это прямое следствие некоторых мощных функций Docker.

В частности, Docker позволяет вам совместно использовать каталог между хостом Docker и гостевым контейнером; и это позволяет сделать это, не ограничивая права доступа к контейнеру.

Если вы раскрываете API REST, вы должны сделать это через https.

Наконец, если вы запустите Docker на сервере, рекомендуется запускать исключительно Docker на сервере, и переместить все другие услуги, в контейнерах, контролируемых Докер

Что касается ВМ, см "Are Docker containers really secure? "

Самая большая проблема заключается в том, что все в Linux не находится в пространстве имен. В настоящее время Docker использует пять пространств имен для изменения процессов в системе: Process, Network, Mount, Hostname, Shared Memory.

Хотя они дают пользователю некоторый уровень безопасности, он ни в коем случае не является всеобъемлющим, например KVM (Kernel-based Virtual Machine).
В среде KVM процессы на виртуальной машине напрямую не связаны с ядром хоста. У них нет доступа к файловым системам ядра, таким как /sys и /sys/fs, /proc/*.