DockerDocker安全容器资源控制（CPU内存磁盘IO）安全加固（lxcfs特权白名单）

Posted 2021-07-04 dezasseis

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了DockerDocker安全容器资源控制（CPU内存磁盘IO）安全加固（lxcfs特权白名单）相关的知识，希望对你有一定的参考价值。

一、理解Docker安全

Docker容器的安全性，很大程度上依赖于Linux系统自身，评估Docker的安全性时，主要考虑以下几个方面：

Linux内核的命名空间机制提供的容器隔离安全
Linux控制组机制对容器资源的控制能力安全。
Linux内核的能力机制所带来的操作权限安全
Docker程序（特别是服务端）本身的抗攻击性。
其他安全增强机制对容器安全性的影响。

1 命名空间隔离的安全

当docker run启动一个容器时，Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。
与虚拟机方式相比，通过Linux namespace来实现的隔离不是那么彻底。
容器只是运行在宿主机上的一种特殊的进程，那么多个容器之间使用的就还是同一个宿主机的操作系统内核。
在 Linux 内核中，有很多资源和对象是不能被 Namespace 化的，比如：时间。

2 控制组资源控制的安全

当docker run启动一个容器时，Docker将在后台为容器创建一个独立的控制组策略集合。
Linux Cgroups提供了很多有用的特性，确保各容器可以公平地分享主机的内存、CPU、磁盘IO等资源。
确保当发生在容器内的资源压力不会影响到本地主机系统和其他容器，它在防止拒绝服务攻击（DDoS）方面必不可少。

3 内核能力机制

能力机制（Capability）是Linux内核一个强大的特性，可以提供细粒度的权限访问控制。
大部分情况下，容器并不需要“真正的”root权限，容器只需要少数的能力即可。
默认情况下，Docker采用“白名单”机制，禁用“必需功能”之外的其他权限。

4 Docker服务端防护

使用Docker容器的核心是Docker服务端，确保只有可信的用户才能访问到Docker服务。
将容器的root用户映射到本地主机上的非root用户，减轻容器和主机之间因权限提升而引起的安全问题。
允许Docker 服务端在非root权限下运行，利用安全可靠的子进程来代理执行需要特权权限的操作。这些子进程只允许在特定范围内进行操作。

5 其他安全特性

在内核中启用GRSEC和PAX，这将增加更多的编译和运行时的安全检查；并且通过地址随机化机制来避免恶意探测等。启用该特性不需要Docker进行任何配置。
使用一些有增强安全特性的容器模板。
用户可以自定义更加严格的访问控制机制来定制安全策略。
在文件系统挂载到容器内部时，可以通过配置只读模式来避免容器内的应用通过文件系统破坏外部环境，特别是一些系统运行状态相关的目录。

二、容器资源控制

Linux Cgroups 是限制一个进程组能够使用的资源上限，包括 CPU、内存、磁盘、网络带宽等等。
对进程进行优先级设置、审计，以及将进程挂起和恢复等操作。
Linux Cgroups 给用户暴露出来的操作接口是文件系统。
它以文件和目录的方式组织在操作系统的/sys/fs/cgroup路径下。
执行mount -t cgroup命令查看

在 /sys/fs/cgroup 下面有很多诸如 cpuset、cpu、 memory 这样的子目录，也叫子系统。
在每个子系统下面，为每个容器创建一个控制组（即创建一个新目录）。
控制组下面的资源文件里填上什么值，就靠用户执行 docker run 时的参数指定。
在这里插入图片描述

01_CPU限额

docker run --help | grep cpu：查看cpu参数

示例1：
cpu_period 和 cpu_quota这两个参数需要组合使用，用来限制进程在长度为 cpu_period 的一段时间内，只能被分配到总量为 cpu_quota 的 CPU 时间，以上设置表示20%的cpu时间。

--cpu-period=100000：时间（默认100000，完全公平调度）
--cpu-quota= ：配额（默认为-1时，100%分配CPU调度）
在这里插入图片描述

1 创建容器：配额为20000时（period的20%）
docker run -it --rm --cpu-quota 20000 ubuntu

dd if=/dev/zero of=/dev/null &

在另一终端显示对此容器的配额
用top命令监控：CPU占用上限为20%

2 创建两个ubuntu容器

docker run -it ubuntu

root@9f3101e2a2a5:/# dd if=/dev/zero of=/dev/null &
[1] 9
按<ctrl>+<p>+<q>不释放容器所占资源

docker run -it ubuntu

root@f6905d9ac99d:/# dd if=/dev/zero of=/dev/null &
[1] 9

在另一终端用top命令：发现资源对半分

示例2：优先级设置
--cpu-shares：相对权重（默认为1024）
在这里插入图片描述

创建一个容器：权重为512，另一个容器默认
在另一终端用top命令监控，发现资源占用一个是另一个的一半

02_内存限制（物理内存与交换分区）

在这里插入图片描述
--memory：设置内存使用限额

--memory-swap：设置swap交换分区限额

1 限制物理内存

安装资源限制工具
yum install -y libcgroup-tools.x86_64
mkdir /sys/fs/cgroup/memory/x1
ls /sys/fs/cgroup/memory/x1看到继承父级
切到目录
cd /sys/fs/cgroup/memory/x1/
查看物理内存限制
修改物理内存上限为200M
echo 209715200 > memory.limit_in_bytes
修改交换分区上限为200M
echo 209715200 > memory.memsw.limit_in_bytes
若不修改，物理内存上限后，会使用交换分区作为应急内存
未限制交换分区的情况
限制交换分区

2 对用户限制

useradd sl创建用户
vim /etc/cgrules.conf创建cgroup规则，设定用户zy以x1/文件中规定的访问memory/子系统

sl	memory	x1/

systemctl start cgred.service开启服务

切到sl用户
占用内存资源100M，可以成功。占用内存资源200M时，写入失败

3.docker直接限制内存使用
docker run -it --memory 200M --memory-swap 200M ubuntu ctrl+p+q不退出
在这里插入图片描述

03_Block IO限制

目前的block IO（吞吐量）限制只对direct IO（直连IO）有效（不使用文件缓存）
--device-write-bps：限制写设备的bps

docker run -it --device-write-bps /dev/sda:30MB ubuntu
在这里插入图片描述

三、Docker安全加固

01_LXCFS增强docker容器隔离性和资源可见性

安装lxcfs（用户态文件系统）
yum install -y lxcfs-2.0.5-3.el7.centos.x86_64.rpm（阿里云可以下载rpm包）
启动并打入后台
lxcfs /var/lib/lxcfs &
创建容器：分别指定内存200M与100M

docker run  -it -m 256m \\
>       -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \\
>       -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \\
>       -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \\
>       -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \\
>       -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \\
>       -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \\
>       ubuntu

在这里插入图片描述