ehlxr/docker_practice
1
0
Fork 0
mirror of https://github.com/yeasy/docker_practice.git synced 2026-03-10 11:54:37 +00:00
Code Issues Projects Releases Wiki Activity

Fix issue#20, format following the guidelines

Browse Source
This commit is contained in:
Baohua Yang
2014-10-14 13:25:01 +08:00
parent 9d26f96ba2
commit cb903202ba
81 changed files with 682 additions and 679 deletions
Download Patch File Download Diff File Expand all files Collapse all files

30
security/kernel_capability.md
View File

@@ -1,26 +1,26 @@
##内核能力机制
## 内核能力机制
能力机制Capability是Linux内核一个强大的特性可以提供细粒度的权限访问控制。
Linux内核自2.1版本起就支持能力机制,它将权限划分为更加细粒度的操作能力,既可以作用在进程上,也可以作用在文件上。
能力机制Capability Linux 内核一个强大的特性,可以提供细粒度的权限访问控制。
Linux 内核自 2.1 版本起就支持能力机制,它将权限划分为更加细粒度的操作能力,既可以作用在进程上,也可以作用在文件上。
例如一个Web服务进程只需要绑定一个低于1024的端口的权限并不需要root权限。那么它只需要被授权`net_bind_service`能力即可。此外还有很多其他的类似能力来避免进程获取root权限。
例如,一个 Web 服务进程只需要绑定一个低于 1024 的端口的权限,并不需要 root 权限。那么它只需要被授权 `net_bind_service` 能力即可。此外,还有很多其他的类似能力来避免进程获取 root 权限。
默认情况下Docker启动的容器被严格限制只允许使用内核的一部分能力。
默认情况下Docker 启动的容器被严格限制只允许使用内核的一部分能力。
使用能力机制对加强Docker容器的安全有很多好处。通常在服务器上会运行一堆需要特权权限的进程包括有ssh、cron、syslogd、硬件管理工具模块例如负载模块、网络配置工具等等。容器跟这些进程是不同的因为几乎所有的特权进程都由容器以外的支持系统来进行管理。
* ssh访问被主机上ssh服务来管理
* cron通常应该作为用户进程执行权限交给使用它服务的应用来处理
* 日志系统可由Docker或第三方服务管理
* 硬件管理无关紧要容器中也就无需执行udevd以及类似服务
使用能力机制对加强 Docker 容器的安全有很多好处。通常,在服务器上会运行一堆需要特权权限的进程,包括有 ssh、cron、syslogd、硬件管理工具模块例如负载模块、网络配置工具等等。容器跟这些进程是不同的因为几乎所有的特权进程都由容器以外的支持系统来进行管理。
* ssh 访问被主机上ssh服务来管理
* cron 通常应该作为用户进程执行,权限交给使用它服务的应用来处理;
* 日志系统可由 Docker 或第三方服务管理;
* 硬件管理无关紧要,容器中也就无需执行 udevd 以及类似服务;
* 网络管理也都在主机上设置,除非特殊需求,容器不需要对网络进行配置。
从上面的例子可以看出大部分情况下容器并不需要“真正的”root,容器只需要少数的能力即可。为了加强安全,容器可以禁用一些没必要的权限。
* 完全禁止任何mount操作
从上面的例子可以看出,大部分情况下,容器并不需要“真正的” root 权限,容器只需要少数的能力即可。为了加强安全,容器可以禁用一些没必要的权限。
* 完全禁止任何 mount 操作;
* 禁止直接访问本地主机的套接字;
* 禁止访问一些文件系统的操作,比如创建新的设备、修改文件属性等;
* 禁止模块加载。
这样就算攻击者在容器中取得了root权限也不能获得本地主机的较高权限能进行的破坏也有限。
这样,就算攻击者在容器中取得了 root 权限,也不能获得本地主机的较高权限,能进行的破坏也有限。
默认情况下Docker采用[白名单](https://github.com/docker/docker/blob/master/daemon/execdriver/native/template/default_template.go)机制,禁用[必需功能](https://github.com/docker/docker/blob/master/daemon/execdriver/native/template/default_template.go)之外的其它权限。
当然用户也可以根据自身需求来为Docker容器启用额外的权限。
默认情况下Docker采用 [白名单](https://github.com/docker/docker/blob/master/daemon/execdriver/native/template/default_template.go) 机制,禁用 [必需功能](https://github.com/docker/docker/blob/master/daemon/execdriver/native/template/default_template.go) 之外的其它权限。
当然,用户也可以根据自身需求来为 Docker 容器启用额外的权限。