田宇 鞏磊

摘要 Docker是一個開源的應用容器引擎，可使用戶打包應用及依賴包到可移植的容器中，而且基于共享內(nèi)核實現(xiàn)虛擬化。但共享內(nèi)核也面臨著一定的安全問題，因此，做好Docker脆弱性分析，積極采取有效措施增強其安全性，為其更好的應用到生產(chǎn)中意義重大。

【關(guān)鍵詞】Docker 脆弱性 分析 安全 增強

Docker容器完全使用沙箱機制，相互之間不存在任何接口，是一個實用型較強的虛擬化工具。但是Docker共享系統(tǒng)內(nèi)核模式一定程度上降低了安全性，攻擊面容易暴漏出來，因此，做好Docker的安全增強研究，成為業(yè)內(nèi)關(guān)注與研究的熱點。

1 Docker脆弱性分析

Docker脆弱性主要體現(xiàn)在文件系統(tǒng)隔離、進程及通信隔離、設備管理及宿主機資源限制、網(wǎng)絡隔離和鏡像傳輸四個方面。對其脆弱性進行研究，可為尋找針對性安全增強措施提供依據(jù)。

1.1 文件系統(tǒng)隔離

Docker中隔離文件功能的實現(xiàn)基于Mount命名空間，不同的命名空間中存放不同的文件，避免文件結(jié)構(gòu)間相互影響。但容器中root權(quán)限與宿主機root用戶相近，尤其創(chuàng)建操作時“rw mount”了宿主機中的文件系統(tǒng)且容器剛好有root權(quán)限存在時，一旦容器執(zhí)行“chmod a +s[program file]”時，會導致運行該程序的用戶均能獲得root權(quán)限，大大增加相關(guān)信息的泄漏機率。

1.2 進程隔離及通信隔離

Docker使用PID命名空間實現(xiàn)進程的隔離，隔離操作時重新標號進程的PID。不同的PID命名空間均有單獨的計數(shù)程序。系統(tǒng)內(nèi)核對PID命名空間的維護通過樹實現(xiàn)，其中根命名空間處于最頂層，并且父節(jié)點可獲得子節(jié)點信息，但子節(jié)點無法獲得父節(jié)點信息。但需要明確的是：當為l的PID被終止，會導致容器完全停止，發(fā)生拒絕服務這一不良狀況。

1.3 設備管理及宿主資源限制

Docker容器中域名及主機名的隔離通過UTS命名空間實現(xiàn)，同時，使用Cgroups對資源的使用情況進行限制，不過默認情況下其處于關(guān)閉狀態(tài)，容易增加設備資源、網(wǎng)絡帶寬、內(nèi)存空間等耗盡情況的發(fā)生機率。另外，考慮到用戶可以獲得容器內(nèi)資源，用戶自定義代碼時如限制不當，會導致宿主機拒絕服務，尤其應用SaaS、PaaS、IaaS時應引起足夠的注意，防止拒絕服務情況的發(fā)生。

1.4 網(wǎng)絡隔離和鏡像傳輸

Docker中Network命名空間負責隔離網(wǎng)絡資源，如實現(xiàn)IP路由表、TC P/IP協(xié)議、網(wǎng)絡設備等的隔離等。但默認情況下Docker使用橋接方式給容器指定IP及Network命名空間，而后與網(wǎng)橋相連。此種方式僅是轉(zhuǎn)發(fā)流量，未作過濾處理，面臨較大的MAC Flooding風險。另外，鏡像傳輸時，Docker并不校驗拉回的鏡像，如一些數(shù)據(jù)被替換可能會發(fā)生中間人攻擊。

2 Docker安全增強措施

針對Docket存在的安全性問題，可從容器安全、容器與宿主機間兩方面入手，積極采取相關(guān)措施，提高其安全性，為其更好的應用奠定基礎。

2.1 容器安全增強措施

為保證容器安全性，一方面，對網(wǎng)絡訪問行為進行限制，即，過濾網(wǎng)絡流量，加強威脅限制?？紤]到Linux中具備Iptables，功能強大，具備限制各種網(wǎng)絡功能，因此，可使用Iptables劃分網(wǎng)絡區(qū)域、隔離網(wǎng)絡等。同時，還可應用SDN軟件，例如使用Open VSwitch代替Docker默認網(wǎng)絡，以更好對容器網(wǎng)絡進行管理。另一方面，進行SSL加密處理。因當前Docker不對拉回的Images的正確性進行校驗，因此，為防止拉回鏡像中間人攻擊的發(fā)生，可向Docker源碼中添加相關(guān)的校驗代碼。同時，還可使用SSL協(xié)議實現(xiàn)替代驗證。

2.2 容器與宿主機間安全增強措施

當容器內(nèi)部發(fā)生安全隱患時，及時采取措施避免宿主機被攻擊尤為重要，具體可采取以下措施：

（1）對Linux全能表進行控制，并應用相關(guān)的安全模塊。一方面，設置“--cap-dropSETUID/SET GID”參數(shù)，對容器中用戶權(quán)限進行限制，防止獲取的root權(quán)限。另外，在不影響運行的情況下，給容器分配最小權(quán)限。另一方面，開啟SELinux功能，同時，開啟Docker Daemon時注重應用“--selinux-enabled”參數(shù)，在此基礎上實現(xiàn)自定義用戶規(guī)則的加載。

（2）加強權(quán)限控制，限制資源分配。一方面，考慮到部分文件的隔離并不完全，當容器中應用某些特殊權(quán)限時分配的權(quán)限應盡可能最小化，以最大程度的保證安全。另一方面，為防止資源耗盡出現(xiàn)拒絕服務情況，應限制好相關(guān)資源。例如，使用“-m 128m”參數(shù)對內(nèi)存進行限制;使用“--cpuset=0，1-c 2”參數(shù)對CPU資源進行限制。另外，在宿主機內(nèi)使用Cgroups限制磁盤的I/O。

（3）禁用root權(quán)限，做好記錄日志分析。禁止運行安全情況不明的用戶程序，避免root權(quán)限的隨意使用。如需應用root權(quán)限也應對部分權(quán)限進行限制，使用“類root”用戶。另外，盡管分析日志不能從根本上提高Docker安全性，但可為技術(shù)人員查找漏洞，分析入侵提供依據(jù)，有助于技術(shù)人員制定針對性防護策略，因此，技術(shù)人員應做好日志的定期分析工作，發(fā)現(xiàn)異常及時處理。

3 結(jié)論

Docker是一個功能強大，使用方便的虛擬化工具，為開發(fā)人員開發(fā)各種程序提供較大便利，但Docker暴漏的安全性問題不容小視，因此，要求技術(shù)人員做好Docker安全性研究，明確安全問題及引發(fā)原因。為提高安全性，一方面，應及時更新Docker，使用最新版本的Docker。同時，禁止運行安全性不明的容器，尤其不能隨意使用root權(quán)限。另一方面，加強應用管理，構(gòu)建有效的安全防范機制，避免漏洞被不法人員利用。同時，一旦發(fā)現(xiàn)入侵行為應及時采取處理措施，防止入侵影響范圍進一步擴大。

參考文獻

[1]陳清金，陳存香，張巖.Docker技術(shù)實現(xiàn)分析[J].信息通信技術(shù)，2015，9（02）：37- 40.

[2]董博，王雪，索菲，張景偉，基于Docker的虛擬化技術(shù)研究[J]，遼寧大學學報（自然科學版），2016，43 （04）： 327-330.

[3]郭甲戌，胡曉勤，基于Docker的虛擬化技術(shù)研究[J].網(wǎng)絡安全技術(shù)與應用，2017 （10）：28-29.