你的镜像安全吗?

Tommy744
• 阅读 951

你的镜像安全吗?

与传统的服务器和虚拟机相比,Docker容器为我们工作提供了更安全的环境。容器中可以使我们的应用环境组件实现更小,更轻。每个应用的组件彼此隔离并且大大减少了攻击面。这样即使有人入侵了您的应用,也会最大程度限制被攻击的程度,而且入侵后,利用漏洞传播攻击更难。

不过,我们还是需要最大程度了解Docker技术本身的存在的安全隐患,这样才能实现最大程度保护我们的容器化系统。

其中大部分将类似于我们已经为基于服务器所做的工作,例如监视容器活动,限制每个容器环境的资源消耗,维持良好的应用程序设计实践,修补漏洞并确保凭据不会被入侵您的Docker映像。

但是,我们还是需要采取专门针对Docker部署的安全措施。因此,以下列出了确保容器平台上托管的应用程序安全的三个基本步骤。

让我们从最重要的开始。

  1. 以非Root用户运行容器镜像

默认情况下,Docker授予容器中进程的root权限,这意味着它们具有对容器和主机环境的完全管理访问权限。 一般来说,就像我们不会在标准Linux服务器上以root身份运行进程一样,我们大部分容器应用部署时,也不会在容器中以root身份运行。

但是,如果没有适当的注意和关注,开发人员可以轻松地忽略此默认行为并创建不安全的映像,这些映像会错误地授予root用户访问权限。这可能是对黑客送了一份大礼,黑客可以利用此漏洞窃取API密钥,令牌,密码和其他机密数据,或者干扰容器部署的基础主机,并对服务器系统造成恶意破坏。

甚至,您的DevOps团队还可能会受到侵害,从而给Docker环境带来意想不到的后果。例如,他们可能会无意中创建具有管理访问权限的,由Dockerfile命令构建的映像,这些映像在启动容器时会擦除数据或更改主机系统设置。

如何防止容器以root权限运行

如果不确定基础镜像使用什么权限,应该强制使用自定义用户的非root用户或用户组。这样,容器进程只能访问我们预期功能所需要的资源

可以通过以下任意方式操作即可:

  • 在Dockerfile中设置非root用户

首先,设置仅具有应用程序所需访问权限的专用用户或用户组。

然后,Dockerfile中添加User,并以此用户或组以构建镜像和启动容器运行时进程命令

FROM centos:7

RUN groupadd -g 1000 basicuser &&

useradd -r -u 1000 -g basicuser basicuser

USER basicuser

  • 在Docker run命令中使用-user指定非root用户

Docker run命令中的-user选项将覆盖Dockerfile中指定的任何用户。所以,在以下示例中,您的容器将始终以最低特权运行-所提供的用户标识符1009的权限级别也最低。但是,此方法无法解决映像本身的潜在安全缺陷。因此,最好在Dockerfile中指定一个非root用户,以便您的容器始终安全运行。

$ docker run –user 1009 centos:7
  1. 使用自己的私有注册中心

私有注册中心是由我们自己的组织搭建的完全独立的容器映像仓库。您可以搭建在自己的服务器上,也可以托管在第三方云服务上,例如Amazon ECR,Azure容器注册,Google容器注册,Red Hat Quay和JFrog自己的容器注册服务。

私有注册中心可以让您获得更完善的镜像的管理方式,并且通常提供更高级的功能,可以帮助确保库存安全。

例如:

  • 复杂的镜像扫描工具,用于识别威胁和未修补的漏洞。
  • 严格的治理,例如基于角色的访问控制(RBAC)和合规性监视。
  • 数字签名,镜像认证和其他防篡改功能。
  • 用于开发,测试和生产多环境的镜像仓库。

相比之下,诸如Docker Hub之类的公共注册表一般仅提供基本服务-您必须信任镜像发布者,而镜像发布者可能未遵循相同的高安全标准。

这样,您最终可能会得到包含恶意或过时代码的镜像,并最终获得对数据泄露敞开大门的容器环境。

  1. 保持镜像最小化

镜像越大,受到攻击的可能性越大。对于linux系统,您没有选择余地,但是对于Docker来说,只选择自己需要的组件即可。

选择最小的基础镜像

Docker hub上的某些镜像比其他的镜像更简化。比如在ubuntu仓库中,有些镜像的大小是部分版本的2倍以上。

所以在您获取镜像时,不要单纯的只获取最新版本的镜像,最理想的是获取占用空间最小的镜像,然后自主添加应用所需的软件包和依赖。

Docker Hub显示存储库中每个映像的压缩大小,如下面的Minimal Ubuntu版本所示。

你的镜像安全吗?

拉取镜像后可以使用docker images命令检查其实际大小。

$ docker images

然后,如下所示查找刚刚下载的镜像的条目。

你的镜像安全吗?)你的镜像安全吗?

优化Dockerfile和.dockerignore中的镜像

接下来,您需要创建一个Dockerfile来为容器构建简化镜像。这将由基础镜像层和自己的镜像层组成。添加这些层时,有些制品将不是运行时环境的必需部分。要排除这些,应该在要从中构建映像的根目录中设置一个.dockerignore文件。

多阶段构建

最后,减小镜像大小的另一种方法是使用Docker多阶段构建功能,Docker 17.05及更高版本支持。

基于这个能力,Dockerfile中可以使用多个FROM命令。

对于每个新的FROM语句,我们可以使用多个不同的基础镜像。然后我们可以有选择的将所需的文件复制到下一阶段,多余的各层将被留下。具体示例如下:

FROM golang:1.7.3

WORKDIR /go/src/github.com/alexellis/href-counter/

RUN go get -d -v golang.org/x/net/html

COPY app.go .

RUN CGO_ENABLED=0 GOOS=linux go build -a -installsuffix cgo -o app .

 

FROM alpine:latest

RUN apk –no-cache add ca-certificates

WORKDIR /root/

COPY –from=0 /go/src/github.com/alexellis/href-counter/app .

CMD [“./app”]

验证镜像完整性

改善容器安全状况的另一种方法是在将镜像从Docker Hub中拉出之前进行验证。

Docker守护程序默认在不检查其完整性的情况下拉取Docker映像。但是,随着Docker Engine 1.8的发布,该平台引入了一项新功能Docker Content Trust,该功能支持镜像的数字签名和身份验证。

此服务使您可以向发布到远程仓库的镜像添加加密签名。同时,每当您尝试拉取镜像时,它都会自动验证数字签名。这样,您可以确定镜像的所有者的身份是不是与他们声明的一致。

要激活Docker Content Trust,您需要使用Linux export命令设置以下变量。

$ export DOCKER_CONTENT_TRUST=1

这只会在您当前的shell中设置。如果要全面启用Docker Content Trust,则需要在所有用户共享的默认环境变量中进行设置。

尽管Docker Content Trust无法验证映像的质量,但可以通过防止在传输过程中受到破坏或通过对存储库的未授权访问,以此来帮助保持镜像的清洁。

本文转自 https://www.kubernetes.org.cn/8810.html,如有侵权,请联系删除。

点赞
收藏
评论区
推荐文章
Jacquelyn38 Jacquelyn38
1年前
2020年前端实用代码段,为你的工作保驾护航
有空的时候,自己总结了几个代码段,在开发中也经常使用,谢谢。 1、使用解构获取json数据let jsonData   id: 1, status: "OK", data: ['a', 'b'] ; let  id, status, data: number   jsonData; console.log(id, status, number )
blmius blmius
1年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录 问题 用navicat导入数据时,报错: 原因这是因为当前的MySQL不支持datetime为0的情况。 解决修改sql\mode: sql\mode:SQL Mode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。 全局s
Stella981 Stella981
11个月前
MAC docker启动参数修改
启动 docker,漏加 16020 端口,怎么修改呢? 1\. Docker ps 看一下id CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS
Stella981 Stella981
11个月前
KVM调整cpu和内存
一.修改kvm虚拟机的配置 1、virsh edit centos7 找到“memory”和“vcpu”标签,将 <name>centos7</name> <uuid>2220a6d1-a36a-4fbb-8523-e078b3dfe795</uuid>
Easter79 Easter79
11个月前
Twitter的分布式自增ID算法snowflake (Java版)
概述 == 分布式系统中,有一些需要使用全局唯一ID的场景,这种时候为了防止ID冲突可以使用36位的UUID,但是UUID有一些缺点,首先他相对比较长,另外UUID一般是无序的。 有些时候我们希望能使用一种简单一些的ID,并且希望ID能够按照时间有序生成。 而twitter的snowflake解决了这种需求,最初Twitter把存储系统从MySQL迁移
Wesley13 Wesley13
11个月前
Java日期时间API系列36
  十二时辰,古代劳动人民把一昼夜划分成十二个时段,每一个时段叫一个时辰。二十四小时和十二时辰对照表: **时辰** **时间** **24时制** 子时 深夜 11:00 - 凌晨 01:00 23:00 - 01 :00 丑时 上午 01:00 - 上午 03:00 01:00 - 03 :00 寅时 上午 03:00 - 上午 0
Wesley13 Wesley13
11个月前
MySQL查询按照指定规则排序
1.按照指定(单个)字段排序 select * from table_name order id desc; 2.按照指定(多个)字段排序 select * from table_name order id desc,status desc; 3.按照指定字段和规则排序 selec
Stella981 Stella981
11个月前
Django中Admin中的一些参数配置
### **设置在列表中显示的字段,id为django模型默认的主键** list_display = ('id', 'name', 'sex', 'profession', 'email', 'qq', 'phone', 'status', 'create_time') ### **设置在列表可编辑字段** list_editable
Stella981 Stella981
11个月前
Angular material mat
Icon Icon Name mat-icon code _add\_comment_ add comment icon <mat-icon> add\_comment</mat-icon> _attach\_file_ attach file icon <mat-icon> attach\_file</mat-icon> _attach\
Wesley13 Wesley13
11个月前
MySQL部分从库上面因为大量的临时表tmp_table造成慢查询
#### 背景描述 # Time: 2019-01-24T00:08:14.705724+08:00 # User@Host: **[**] @ [**] Id: ** # Schema: sentrymeta Last_errno: 0 Killed: 0 # Query_time: 0.315758 Lock_
helloworld_34035044 helloworld_34035044
2个月前
皕杰报表之UUID
​在我们用皕杰报表工具设计填报报表时,如何在新增行里自动增加id呢?能新增整数排序id吗?目前可以在新增行里自动增加id,但只能用uuid函数增加UUID编码,不能新增整数排序id。 uuid函数说明:获取一个UUID,可以在填报表中用来创建数据ID语法:uuid() 或 uuid(sep)参数说明:sep 布尔值,生成的uuid中是否包含分隔符'',缺省为