亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        Docker脆弱性分析與安全增強

        2018-02-25 06:21:08田宇鞏磊
        電子技術(shù)與軟件工程 2018年9期
        關(guān)鍵詞:增強脆弱性安全

        田宇 鞏磊

        摘要 Docker是一個開源的應用容器引擎,可使用戶打包應用及依賴包到可移植的容器中,而且基于共享內(nèi)核實現(xiàn)虛擬化。但共享內(nèi)核也面臨著一定的安全問題,因此,做好Docker脆弱性分析,積極采取有效措施增強其安全性,為其更好的應用到生產(chǎn)中意義重大。

        【關(guān)鍵詞】Docker 脆弱性 分析 安全 增強

        Docker容器完全使用沙箱機制,相互之間不存在任何接口,是一個實用型較強的虛擬化工具。但是Docker共享系統(tǒng)內(nèi)核模式一定程度上降低了安全性,攻擊面容易暴漏出來,因此,做好Docker的安全增強研究,成為業(yè)內(nèi)關(guān)注與研究的熱點。

        1 Docker脆弱性分析

        Docker脆弱性主要體現(xiàn)在文件系統(tǒng)隔離、進程及通信隔離、設備管理及宿主機資源限制、網(wǎng)絡隔離和鏡像傳輸四個方面。對其脆弱性進行研究,可為尋找針對性安全增強措施提供依據(jù)。

        1.1 文件系統(tǒng)隔離

        Docker中隔離文件功能的實現(xiàn)基于Mount命名空間,不同的命名空間中存放不同的文件,避免文件結(jié)構(gòu)間相互影響。但容器中root權(quán)限與宿主機root用戶相近,尤其創(chuàng)建操作時“rw mount”了宿主機中的文件系統(tǒng)且容器剛好有root權(quán)限存在時,一旦容器執(zhí)行“chmod a +s[program file]”時,會導致運行該程序的用戶均能獲得root權(quán)限,大大增加相關(guān)信息的泄漏機率。

        1.2 進程隔離及通信隔離

        Docker使用PID命名空間實現(xiàn)進程的隔離,隔離操作時重新標號進程的PID。不同的PID命名空間均有單獨的計數(shù)程序。系統(tǒng)內(nèi)核對PID命名空間的維護通過樹實現(xiàn),其中根命名空間處于最頂層,并且父節(jié)點可獲得子節(jié)點信息,但子節(jié)點無法獲得父節(jié)點信息。但需要明確的是:當為l的PID被終止,會導致容器完全停止,發(fā)生拒絕服務這一不良狀況。

        1.3 設備管理及宿主資源限制

        Docker容器中域名及主機名的隔離通過UTS命名空間實現(xiàn),同時,使用Cgroups對資源的使用情況進行限制,不過默認情況下其處于關(guān)閉狀態(tài),容易增加設備資源、網(wǎng)絡帶寬、內(nèi)存空間等耗盡情況的發(fā)生機率。另外,考慮到用戶可以獲得容器內(nèi)資源,用戶自定義代碼時如限制不當,會導致宿主機拒絕服務,尤其應用SaaS、PaaS、IaaS時應引起足夠的注意,防止拒絕服務情況的發(fā)生。

        1.4 網(wǎng)絡隔離和鏡像傳輸

        Docker中Network命名空間負責隔離網(wǎng)絡資源,如實現(xiàn)IP路由表、TC P/IP協(xié)議、網(wǎng)絡設備等的隔離等。但默認情況下Docker使用橋接方式給容器指定IP及Network命名空間,而后與網(wǎng)橋相連。此種方式僅是轉(zhuǎn)發(fā)流量,未作過濾處理,面臨較大的MAC Flooding風險。另外,鏡像傳輸時,Docker并不校驗拉回的鏡像,如一些數(shù)據(jù)被替換可能會發(fā)生中間人攻擊。

        2 Docker安全增強措施

        針對Docket存在的安全性問題,可從容器安全、容器與宿主機間兩方面入手,積極采取相關(guān)措施,提高其安全性,為其更好的應用奠定基礎。

        2.1 容器安全增強措施

        為保證容器安全性,一方面,對網(wǎng)絡訪問行為進行限制,即,過濾網(wǎng)絡流量,加強威脅限制??紤]到Linux中具備Iptables,功能強大,具備限制各種網(wǎng)絡功能,因此,可使用Iptables劃分網(wǎng)絡區(qū)域、隔離網(wǎng)絡等。同時,還可應用SDN軟件,例如使用Open VSwitch代替Docker默認網(wǎng)絡,以更好對容器網(wǎng)絡進行管理。另一方面,進行SSL加密處理。因當前Docker不對拉回的Images的正確性進行校驗,因此,為防止拉回鏡像中間人攻擊的發(fā)生,可向Docker源碼中添加相關(guān)的校驗代碼。同時,還可使用SSL協(xié)議實現(xiàn)替代驗證。

        2.2 容器與宿主機間安全增強措施

        當容器內(nèi)部發(fā)生安全隱患時,及時采取措施避免宿主機被攻擊尤為重要,具體可采取以下措施:

        (1)對Linux全能表進行控制,并應用相關(guān)的安全模塊。一方面,設置“--cap-dropSETUID/SET GID”參數(shù),對容器中用戶權(quán)限進行限制,防止獲取的root權(quán)限。另外,在不影響運行的情況下,給容器分配最小權(quán)限。另一方面,開啟SELinux功能,同時,開啟Docker Daemon時注重應用“--selinux-enabled”參數(shù),在此基礎上實現(xiàn)自定義用戶規(guī)則的加載。

        (2)加強權(quán)限控制,限制資源分配。一方面,考慮到部分文件的隔離并不完全,當容器中應用某些特殊權(quán)限時分配的權(quán)限應盡可能最小化,以最大程度的保證安全。另一方面,為防止資源耗盡出現(xiàn)拒絕服務情況,應限制好相關(guān)資源。例如,使用“-m 128m”參數(shù)對內(nèi)存進行限制;使用“--cpuset=0,1-c 2”參數(shù)對CPU資源進行限制。另外,在宿主機內(nèi)使用Cgroups限制磁盤的I/O。

        (3)禁用root權(quán)限,做好記錄日志分析。禁止運行安全情況不明的用戶程序,避免root權(quán)限的隨意使用。如需應用root權(quán)限也應對部分權(quán)限進行限制,使用“類root”用戶。另外,盡管分析日志不能從根本上提高Docker安全性,但可為技術(shù)人員查找漏洞,分析入侵提供依據(jù),有助于技術(shù)人員制定針對性防護策略,因此,技術(shù)人員應做好日志的定期分析工作,發(fā)現(xiàn)異常及時處理。

        3 結(jié)論

        Docker是一個功能強大,使用方便的虛擬化工具,為開發(fā)人員開發(fā)各種程序提供較大便利,但Docker暴漏的安全性問題不容小視,因此,要求技術(shù)人員做好Docker安全性研究,明確安全問題及引發(fā)原因。為提高安全性,一方面,應及時更新Docker,使用最新版本的Docker。同時,禁止運行安全性不明的容器,尤其不能隨意使用root權(quán)限。另一方面,加強應用管理,構(gòu)建有效的安全防范機制,避免漏洞被不法人員利用。同時,一旦發(fā)現(xiàn)入侵行為應及時采取處理措施,防止入侵影響范圍進一步擴大。

        參考文獻

        [1]陳清金,陳存香,張巖.Docker技術(shù)實現(xiàn)分析[J].信息通信技術(shù),2015,9(02):37- 40.

        [2]董博,王雪,索菲,張景偉,基于Docker的虛擬化技術(shù)研究[J],遼寧大學學報(自然科學版),2016,43 (04): 327-330.

        [3]郭甲戌,胡曉勤,基于Docker的虛擬化技術(shù)研究[J].網(wǎng)絡安全技術(shù)與應用,2017 (10):28-29.

        猜你喜歡
        增強脆弱性安全
        煤礦電網(wǎng)脆弱性評估
        電子制作(2017年10期)2017-04-18 07:23:09
        關(guān)于小學數(shù)學教學構(gòu)建學生參與課堂的措施探討
        殺毒軟件中指令虛擬機的脆弱性分析
        電信科學(2016年10期)2016-11-23 05:11:56
        新時期強化民族大學生法律意識的對策研究
        共產(chǎn)黨員要增強信仰定力
        基于攻擊圖的工控系統(tǒng)脆弱性量化方法
        自動化學報(2016年5期)2016-04-16 03:38:47
        基于電流介數(shù)的電力系統(tǒng)脆弱性評估
        av影院手机在线观看| 久久频这里精品99香蕉| 国产熟妇人妻精品一区二区动漫 | 日本精品久久不卡一区二区 | 国产丝袜视频一区二区三区| 欧美a视频在线观看| 午夜日本理论片最新片| 不卡的高清av一区二区三区| 国产午夜精品一区二区三区嫩草| 三级4级全黄60分钟| 久久婷婷色综合一区二区| 亚洲综合久久1区2区3区 | 老熟女的中文字幕欲望| 丰满少妇作爱视频免费观看| 丰满少妇被猛男猛烈进入久久| 人妻少妇一区二区三区| 亚洲肥婆一区二区三区| 亚洲人成电影网站色| 无码少妇一区二区性色av| 久久国产精品二区99| 都市激情亚洲综合一区| 国产免费三级av在线| 尤物在线精品视频| 国产成人免费一区二区三区| 久热香蕉精品视频在线播放| 国产午夜视频高清在线观看| 高清日韩av在线免费观看| 国产l精品国产亚洲区久久| 亚洲国产精品久久久久秋霞1| 精品久久久久久国产潘金莲| 亚洲中文字幕高清在线视频一区| 亚洲色一区二区三区四区| 亚洲旡码a∨一区二区三区 | 99久久久精品免费香蕉| 国产精品国产三级国产专区51区 | аⅴ资源天堂资源库在线| 精品亚洲欧美高清不卡高清| 视频一区二区三区国产| 男人和女人做爽爽视频| 亚洲精品成人网久久久久久| 日韩精品成人一区二区三区久久久 |