你的镜像安全吗?

Tommy744 等级 638 0 0

你的镜像安全吗?

与传统的服务器和虚拟机相比,Docker容器为我们工作提供了更安全的环境。容器中可以使我们的应用环境组件实现更小,更轻。每个应用的组件彼此隔离并且大大减少了攻击面。这样即使有人入侵了您的应用,也会最大程度限制被攻击的程度,而且入侵后,利用漏洞传播攻击更难。

不过,我们还是需要最大程度了解Docker技术本身的存在的安全隐患,这样才能实现最大程度保护我们的容器化系统。

其中大部分将类似于我们已经为基于服务器所做的工作,例如监视容器活动,限制每个容器环境的资源消耗,维持良好的应用程序设计实践,修补漏洞并确保凭据不会被入侵您的Docker映像。

但是,我们还是需要采取专门针对Docker部署的安全措施。因此,以下列出了确保容器平台上托管的应用程序安全的三个基本步骤。

让我们从最重要的开始。

  1. 以非Root用户运行容器镜像

默认情况下,Docker授予容器中进程的root权限,这意味着它们具有对容器和主机环境的完全管理访问权限。 一般来说,就像我们不会在标准Linux服务器上以root身份运行进程一样,我们大部分容器应用部署时,也不会在容器中以root身份运行。

但是,如果没有适当的注意和关注,开发人员可以轻松地忽略此默认行为并创建不安全的映像,这些映像会错误地授予root用户访问权限。这可能是对黑客送了一份大礼,黑客可以利用此漏洞窃取API密钥,令牌,密码和其他机密数据,或者干扰容器部署的基础主机,并对服务器系统造成恶意破坏。

甚至,您的DevOps团队还可能会受到侵害,从而给Docker环境带来意想不到的后果。例如,他们可能会无意中创建具有管理访问权限的,由Dockerfile命令构建的映像,这些映像在启动容器时会擦除数据或更改主机系统设置。

如何防止容器以root权限运行

如果不确定基础镜像使用什么权限,应该强制使用自定义用户的非root用户或用户组。这样,容器进程只能访问我们预期功能所需要的资源

可以通过以下任意方式操作即可:

  • 在Dockerfile中设置非root用户

首先,设置仅具有应用程序所需访问权限的专用用户或用户组。

然后,Dockerfile中添加User,并以此用户或组以构建镜像和启动容器运行时进程命令

FROM centos:7

RUN groupadd -g 1000 basicuser &&

useradd -r -u 1000 -g basicuser basicuser

USER basicuser

  • 在Docker run命令中使用-user指定非root用户

Docker run命令中的-user选项将覆盖Dockerfile中指定的任何用户。所以,在以下示例中,您的容器将始终以最低特权运行-所提供的用户标识符1009的权限级别也最低。但是,此方法无法解决映像本身的潜在安全缺陷。因此,最好在Dockerfile中指定一个非root用户,以便您的容器始终安全运行。

$ docker run –user 1009 centos:7
  1. 使用自己的私有注册中心

私有注册中心是由我们自己的组织搭建的完全独立的容器映像仓库。您可以搭建在自己的服务器上,也可以托管在第三方云服务上,例如Amazon ECR,Azure容器注册,Google容器注册,Red Hat Quay和JFrog自己的容器注册服务。

私有注册中心可以让您获得更完善的镜像的管理方式,并且通常提供更高级的功能,可以帮助确保库存安全。

例如:

  • 复杂的镜像扫描工具,用于识别威胁和未修补的漏洞。
  • 严格的治理,例如基于角色的访问控制(RBAC)和合规性监视。
  • 数字签名,镜像认证和其他防篡改功能。
  • 用于开发,测试和生产多环境的镜像仓库。

相比之下,诸如Docker Hub之类的公共注册表一般仅提供基本服务-您必须信任镜像发布者,而镜像发布者可能未遵循相同的高安全标准。

这样,您最终可能会得到包含恶意或过时代码的镜像,并最终获得对数据泄露敞开大门的容器环境。

  1. 保持镜像最小化

镜像越大,受到攻击的可能性越大。对于linux系统,您没有选择余地,但是对于Docker来说,只选择自己需要的组件即可。

选择最小的基础镜像

Docker hub上的某些镜像比其他的镜像更简化。比如在ubuntu仓库中,有些镜像的大小是部分版本的2倍以上。

所以在您获取镜像时,不要单纯的只获取最新版本的镜像,最理想的是获取占用空间最小的镜像,然后自主添加应用所需的软件包和依赖。

Docker Hub显示存储库中每个映像的压缩大小,如下面的Minimal Ubuntu版本所示。

你的镜像安全吗?

拉取镜像后可以使用docker images命令检查其实际大小。

$ docker images

然后,如下所示查找刚刚下载的镜像的条目。

你的镜像安全吗?)你的镜像安全吗?

优化Dockerfile和.dockerignore中的镜像

接下来,您需要创建一个Dockerfile来为容器构建简化镜像。这将由基础镜像层和自己的镜像层组成。添加这些层时,有些制品将不是运行时环境的必需部分。要排除这些,应该在要从中构建映像的根目录中设置一个.dockerignore文件。

多阶段构建

最后,减小镜像大小的另一种方法是使用Docker多阶段构建功能,Docker 17.05及更高版本支持。

基于这个能力,Dockerfile中可以使用多个FROM命令。

对于每个新的FROM语句,我们可以使用多个不同的基础镜像。然后我们可以有选择的将所需的文件复制到下一阶段,多余的各层将被留下。具体示例如下:

FROM golang:1.7.3

WORKDIR /go/src/github.com/alexellis/href-counter/

RUN go get -d -v golang.org/x/net/html

COPY app.go .

RUN CGO_ENABLED=0 GOOS=linux go build -a -installsuffix cgo -o app .

 

FROM alpine:latest

RUN apk –no-cache add ca-certificates

WORKDIR /root/

COPY –from=0 /go/src/github.com/alexellis/href-counter/app .

CMD [“./app”]

验证镜像完整性

改善容器安全状况的另一种方法是在将镜像从Docker Hub中拉出之前进行验证。

Docker守护程序默认在不检查其完整性的情况下拉取Docker映像。但是,随着Docker Engine 1.8的发布,该平台引入了一项新功能Docker Content Trust,该功能支持镜像的数字签名和身份验证。

此服务使您可以向发布到远程仓库的镜像添加加密签名。同时,每当您尝试拉取镜像时,它都会自动验证数字签名。这样,您可以确定镜像的所有者的身份是不是与他们声明的一致。

要激活Docker Content Trust,您需要使用Linux export命令设置以下变量。

$ export DOCKER_CONTENT_TRUST=1

这只会在您当前的shell中设置。如果要全面启用Docker Content Trust,则需要在所有用户共享的默认环境变量中进行设置。

尽管Docker Content Trust无法验证映像的质量,但可以通过防止在传输过程中受到破坏或通过对存储库的未授权访问,以此来帮助保持镜像的清洁。

本文转自 https://www.kubernetes.org.cn/8810.html,如有侵权,请联系删除。

收藏
评论区

相关推荐

4、Docker 镜像构建
Docker 镜像构建 =========== 构建分为两种 * 手动构建 * 自动构建`dockerfile` 手动构建 ---- 首先启动一个Centos 容器,然后在容器中安装一个nginx [root@node ~]# docker run -it --name nginx-man centos [root@b825
CentOS环境安装Docker配置nginx+uwsgi+django
Docker安装 1、[root@CentOS ~]# yum install docker 2、[root@CentOS ~]# service docker start 3、[root@CentOS ~]# chkconfig docker on Docker安装Nginx [root@CentOS ~]#
Centos7快速安装Rancher
 通过docker,我们可以快速安装rancher 安装步骤如下:\[root@localhost ~\]# #run运行,-d后台模式 --restart=always跟随docker启动,-p映射端口,镜像名为rancher/server。docker会自动下载并安装启动 [root@localhost ~]# docker run -d
DOCKER学习 docker
DOCKER只能安装到LIUX系列机器上 如果WINDOWS想安装必须通过虚拟机来完成。 比如用VM,VBOX等 安装之前需要用ROOT账户 su 安装DOCKER (CE是个人版本,EE是企业版本) yum -y install docker-io 启动DOCKER服务 systemctl start docker
Docker Compose集成式应用组合及service编排
### Compose简介 Compose项目是Docker官方的开源项目,负责实现对Docker容器集群的快速编排。其代码目前在 [https://github.com/docker/compose](https://www.oschina.net/action/GoToLink?url=https%3A%2F%2Fgithub.com%2Fdocker
Docker 安装
( CentOS 7 ) 使用 yum 方式安装 docker : [root@localhost ~]$ curl https://download.docker.com/linux/centos/docker-ce.repo -o /etc/yum.repos.d/docker.repo [root@localhost ~]$ yum
Docker 容器健康检查
![DOCKER HEALTHCHECK](https://img-blog.csdnimg.cn/20210120134741738.jpg) Docker 容器健康检查指的是在 Dockerfile 中使用 `HEALTHCHECK` 指令对容器的运行状态进行检查, 并在 `docker ps` 的 STATUS 栏显示 healthy/unhealt
DockerSwarm+Dubbo镜像与部署相关命令与参数
#### `Docker 镜像` ##### `一、容器转镜像` docker commit <containerId> <image:tag> docker commit 3ffa4284ddca zookeeper:3.4.14 ##### 二、镜像保存文件 docker save zookeeper:3.4.1
Docker入门系列之三:如何将dockerfile制作好的镜像发布到Docker hub上
这个系列的前两篇文章,我们已经把我们的应用成功地在Docker里通过nginx运行了起来,并且用dockerfile里制作好了一个镜像。 * [Docker入门系列之一:在一个Docker容器里运行指定的web应用](https://www.oschina.net/action/GoToLink?url=https%3A%2F%2Fwww.jiansh
Docker安装JIRA和Confluence(破解版)
一、准备工作 1、docker环境部署 2、破解插件:[https://gitee.com/pengzhile/atlassian-agent](https://gitee.com/pengzhile/atlassian-agent) 二、安装jira 2.1 制作Docker破解容器 编写Dockerfile文件: FROM cptac
Docker容器化【Docker镜像与容器相关命令】
\# Docker 学习目标: * 掌握Docker基础知识,能够理解Docker镜像与容器的概念 * 完成Docker安装与启动 * 掌握Docker镜像与容器相关命令 * 掌握Tomcat Nginx 等软件的常用应用的安装 * 掌握docker迁移与备份相关命令 * 能够运用Dockerfile编写创建容器的脚本 * 能
Docker搭建WordPress在线博客
一、下载: docker pull daocloud.io/daocloud/dao-wordpress:latest 二、运行: docker run -d -p 8080:80 --name wordpress -e WORDPRESS\_DB\_HOST=ip:3306 -e WORDPRESS\_DB\_USER=root -e WORDPRE
Docker系列教程19
> 原文:[http://www.itmuch.com/docker/19-docker-compose-summary/](https://www.oschina.net/action/GoToLink?url=http%3A%2F%2Fwww.itmuch.com%2Fdocker%2F19-docker-compose-summary%2F) ,转载请
Docker:dockerfile构建php项目 [八]
一、把项目封装成docker镜像的步骤 ------------------- 把项目封装成docker镜像的步骤: 1、先运行一个基础容器,手动制作docker镜像 2、编写dockerfile,构建镜像 3、测试运行 二、dockerfile常用指令参考 ------------------ ### 1、dockerfile常用指令:
Spring Boot demo系列(五):Docker部署
2021.2.24 更新 ============ 1 概述 ==== 本文讲述了如何使用`Docker`部署`Spring Boot`应用,首先介绍了`Docker`的安装过程,接着介绍了`Docker`的一些基础知识,最后讲述了`Dockerfile`的编写以及部署过程。 2 环境 ==== * 服务器:`aarch64 CentOS8` *