ehlxr/docker_practice
1
0
Fork 0
mirror of https://github.com/yeasy/docker_practice.git synced 2025-08-07 07:42:10 +00:00
Code Issues Projects Releases Wiki Activity

replace '進程' as '程序'

Browse Source
This commit is contained in:
a504082002
2014-11-20 01:05:42 +08:00
parent 45acb9c3c3
commit d24b44076b
16 changed files with 33 additions and 33 deletions
Download Patch File Download Diff File Expand all files Collapse all files

2
security/control_group.md
View File

@@ -3,6 +3,6 @@
它提供了很多有用的特性以及確保各個容器可以公平地分享主機的內存、CPU、磁盤 IO 等資源;當然,更重要的是,控制組確保了當容器內的資源使用產生壓力時不會連累主機系統。
盡管控制組不負責隔離容器之間相互訪問、處理數據和它在防止拒絕服務DDOS攻擊方面是必不可少的。尤其是在多用戶的平臺比如公有或私有的 PaaS控制組十分重要。例如當某些應用程序表現異常的時候可以保證一致地正常執行和性能。
盡管控制組不負責隔離容器之間相互訪問、處理數據和程它在防止拒絕服務DDOS攻擊方面是必不可少的。尤其是在多用戶的平臺比如公有或私有的 PaaS控制組十分重要。例如當某些應用程序表現異常的時候可以保證一致地正常執行和性能。
控制組機制始於 2006 年,內核從 2.6.24 版本開始被引入。

4
security/daemon_sec.md
View File

@@ -13,6 +13,6 @@
終極目標是改進 2 個重要的安全特性:
* 將容器的 root 用戶映射到本地主機上的非 root 用戶,減輕容器和主機之間因權限提升而引起的安全問題;
* 允許 Docker 服務端在非 root 權限下執行,利用安全可靠的子程來代理執行需要特權權限的操作。這些子程將只允許在限定範圍內進行操作,例如僅僅負責虛擬網絡設定或文件系統管理、配置操作等。
* 允許 Docker 服務端在非 root 權限下執行,利用安全可靠的子程來代理執行需要特權權限的操作。這些子程將只允許在限定範圍內進行操作,例如僅僅負責虛擬網絡設定或文件系統管理、配置操作等。
最後,建議采用專用的服務器來執行 Docker 和相關的管理服務(例如管理服務比如 ssh 監控和程監控、管理工具 nrpe、collectd 等)。其它的業務服務都放到容器中去執行。
最後,建議采用專用的服務器來執行 Docker 和相關的管理服務(例如管理服務比如 ssh 監控和程監控、管理工具 nrpe、collectd 等)。其它的業務服務都放到容器中去執行。

8
security/kernel_capability.md
View File

@@ -1,15 +1,15 @@
## 內核能力機制
能力機制Capability是 Linux 內核一個強大的特性,可以提供細粒度的權限訪問控制。
Linux 內核自 2.2 版本起就支持能力機制,它將權限劃分為更加細粒度的操作能力,既可以作用在程上,也可以作用在文件上。
Linux 內核自 2.2 版本起就支持能力機制,它將權限劃分為更加細粒度的操作能力,既可以作用在程上,也可以作用在文件上。
例如,一個 Web 服務程只需要綁定一個低於 1024 的端口的權限,並不需要 root 權限。那麽它只需要被授權 `net_bind_service` 能力即可。此外,還有很多其他的類似能力來避免程獲取 root 權限。
例如,一個 Web 服務程只需要綁定一個低於 1024 的端口的權限,並不需要 root 權限。那麽它只需要被授權 `net_bind_service` 能力即可。此外,還有很多其他的類似能力來避免程獲取 root 權限。
默認情況下Docker 啟動的容器被嚴格限制只允許使用內核的一部分能力。
使用能力機制對加強 Docker 容器的安全有很多好處。通常,在服務器上會執行一堆需要特權權限的程,包括有 ssh、cron、syslogd、硬件管理工具模塊例如負載模塊、網絡配置工具等等。容器跟這些程是不同的,因為幾乎所有的特權程都由容器以外的支持系統來進行管理。
使用能力機制對加強 Docker 容器的安全有很多好處。通常,在服務器上會執行一堆需要特權權限的程,包括有 ssh、cron、syslogd、硬件管理工具模塊例如負載模塊、網絡配置工具等等。容器跟這些程是不同的,因為幾乎所有的特權程都由容器以外的支持系統來進行管理。
* ssh 訪問被主機上ssh服務來管理
* cron 通常應該作為用戶程執行,權限交給使用它服務的應用來處理;
* cron 通常應該作為用戶程執行,權限交給使用它服務的應用來處理;
* 日誌系統可由 Docker 或第三方服務管理;
* 硬件管理無關緊要,容器中也就無需執行 udevd 以及類似服務;
* 網絡管理也都在主機上設置,除非特殊需求,容器不需要對網絡進行配置。

2
security/kernel_ns.md
View File

@@ -1,7 +1,7 @@
## 內核名字空間
Docker 容器和 LXC 容器很相似,所提供的安全特性也差不多。當用 `docker run` 啟動一個容器時,在後臺 Docker 為容器創建了一個獨立的名字空間和控制組集合。
名字空間提供了最基礎也是最直接的隔離,在容器中執行的程不會被執行在主機上的程和其它容器發現和作用。
名字空間提供了最基礎也是最直接的隔離,在容器中執行的程不會被執行在主機上的程和其它容器發現和作用。
每個容器都有自己獨有的網絡棧,意味著它們不能訪問其他容器的 sockets 或接口。不過,如果主機系統上做了相應的設置,容器可以像跟主機交互一樣的和其他容器交互。當指定公共端口或使用 links 來連接 2 個容器時,容器就可以相互通信了(可以根據配置來限制通信的策略)。

2
security/summary.md
View File

@@ -1,4 +1,4 @@
## 總結
總體來看Docker 容器還是十分安全的,特別是在容器內不使用 root 權限來執行程的話。
總體來看Docker 容器還是十分安全的,特別是在容器內不使用 root 權限來執行程的話。
另外,用戶可以使用現有工具,比如 Apparmor, SELinux, GRSEC 來增強安全性;甚至自己在內核中實現更復雜的安全機制。