A Docker az egyik leggyakrabban használt konténerezési platform, és nagyon szeretik a szoftvermérnökök körében. Hatékony CLI-eszközzel érkezik a Docker-tárolók és más kapcsolódó feladatok kezelésére.
Alapértelmezés szerint a Dockerrel kapcsolatos parancsok Linuxon való futtatásához root jogosultságra van szükség. Természetesen ezt a kényelem kedvéért módosíthatja, és a Docker-parancsokat root jogosultságok nélkül futtathatja, de tisztában kell lennie a biztonsági következményekkel.
Mi az a Docker támadási felület?
A támadási felület azon támadási pontok száma, inkább az ablakok száma, amellyel egy rosszindulatú felhasználó bejuthat a rendszerbe, és pusztítást okozhat. Alapszabály, hogy az informatikai rendszereknek minimális támadási felülettel kell rendelkezniük a biztonsági kockázatok csökkentése érdekében.
Általában a Docker támadási felülete nagyon minimális. A tárolók biztonságosan elkülönített környezetben futnak, és másként nem érintik a gazdagép operációs rendszerét. Ezenkívül a Docker-tárolók csak minimális szolgáltatásokat futtatnak, ami biztonságosabbá teszi.
Beállíthatja Linux rendszerét úgy, hogy a Dockert sudo-jogosultságok nélkül vezérelje. Ez kényelmes lehet fejlesztői környezetben, de komoly biztonsági rést jelenthet az éles rendszerekben. És ez az oka annak, hogy soha ne futtassa a Dockert sudo nélkül.
1. Docker konténerek vezérlésének képessége
A sudo-jogosultságok nélkül bárki, aki hozzáfér a rendszerhez vagy a szerverhez, vezérelheti a Docker minden aspektusát. Hozzáférhetnek a Docker naplófájljaihoz, és tetszés szerint vagy véletlenül leállíthatják és törölhetik a tárolókat. Elveszíthet olyan kritikus adatokat is, amelyek létfontosságúak az üzletmenet folytonossága szempontjából.
Ha a Docker-tárolókat éles környezetben használja, az állásidő az üzlet és a bizalom elvesztését eredményezi.
2. Szerezze meg az irányítást a gazdagép operációs rendszer könyvtárai felett
A Docker Volumes egy hatékony szolgáltatás, amely lehetővé teszi a konténeradatok megosztását és megőrzését úgy, hogy azokat a gazdagép operációs rendszer egy meghatározott mappájába írja.
Az egyik legnagyobb fenyegetés, amelyet a Docker sudo nélküli futtatása jelent, hogy a rendszeren bárki átveheti az irányítást a gazdagép operációs rendszer könyvtárai felett, beleértve a gyökérkönyvtárat is.
Mindössze annyit kell tennie, hogy futtat egy Linux Docker-képet, például az Ubuntu-képet, és csatolja a gyökérmappához a következő paranccsal:
docker run -ti -v /:/hostproot ubuntu bashÉs mivel a Linux Docker konténerek root felhasználóként futnak, ez lényegében azt jelenti, hogy hozzáfér a teljes gyökérmappához.
A fent említett parancs letölti és futtatja a legújabb Ubuntu lemezképet, és felcsatolja a gyökérkönyvtárba.
A Docker konténerterminálon lépjen a /hostproot könyvtárat használva a cd parancsot:
CD /hostprootA könyvtár tartalmának listázása az ls paranccsal megjeleníti a gazdagép operációs rendszer összes fájlját, amely már elérhető a tárolójában. Mostantól kezelheti a fájlokat, megtekintheti a titkos fájlokat, elrejtheti és feloldhatja a fájlokat, módosíthatja az engedélyeket stb.
3. Rosszindulatú szoftver telepítése
Egy jól megtervezett Docker-kép futhat a háttérben, és manipulálhatja a rendszert, vagy érzékeny adatokat gyűjthet. Ami még rosszabb, egy rosszindulatú felhasználó rosszindulatú kódot terjeszthet a hálózaton a Docker-tárolókon keresztül.
Vannak a Docker konténerek számos gyakorlati felhasználási esete, és minden alkalmazáshoz más-más biztonsági fenyegetés tartozik.
Biztosítsa Docker-tárolóit Linuxon
A Docker egy hatékony és biztonságos platform. A Docker sudo nélküli futtatása növeli a támadási felületet, és sebezhetővé teszi a rendszert. Éles környezetben erősen ajánlott a sudo használata a Dockerrel.
Ha sok felhasználó van egy rendszeren, rendkívül nehéz lesz jogosultságokat rendelni az egyes felhasználókhoz. Ilyen esetekben a legjobb hozzáférés-szabályozási gyakorlatok követése segíthet fenntartani rendszere biztonságát.