在生產環境中��,強化Docker容器的一種方法就是使它們不可變���,也就是只讀��。安全地運行容器的其他方法還包括最小化受攻擊面和應用Linux安全過程�����,標準Linux安全過程和針對容器環境的特定過程都要應用���。
在啟動容器時傳入--read-only標記就可以 在只讀模式下運行 它���。這可以防止任何進程寫入文件系統。任何試圖寫入的動作都會導致錯誤�����。 運行這種不可變的基礎設施 也與其他軟件部署流水線的最佳實踐相吻合�。
盡管不可變性可以阻止任何惡意腳本的執行,可以禁止通過在容器里運行的其他軟件暴露出來的漏洞而引起的改動���。但是在現實生產環境中�,這種模式又是不是適用于應用程序呢���?比如��,要產生的日志文件和要使用數據庫的應用程序就需要可寫性����。
寫日志的一個可能的解決方案可以是使用一個集中的日志系統,比如Elasticsearch/Logstash/Kibana(ELK)�,這樣所有的日志都被收集在一個中心節點����,可能是在另一個容器中,就不是用戶可以直接訪問的了��。另一種替代的方案是在啟動容器時��,通過使用--log-driver標記將日志導出到容器之外����。對于那些需要對/tmp之類的臨時目錄有寫入權限的應用程序,一種解決辦法是在容器里為這些目錄 加載一個臨時的文件系統 ���。
終端用戶不能直接訪問數據庫�,所以風險較低��。然而���,這并不排除受到攻擊的可能���,除非面對用戶的應用程序得到了強化���。
在不可避免地要有一個可寫的文件系統的情況下,Docker提供了審計和變化的回滾功能���。在Docker容器里的文件系統是作為一系列層的堆疊��。當創建一個新容器時��,將在頂部添加一個新層����,該層可以寫入���。Docker存儲驅動程序隱藏了這些細節����,并將它作為一個普通的文件系統交付給用戶�����。對正在運行的容器的寫入將寫入此新層��。這通常被稱為寫時拷貝(Copy-On-Write,COW)����。
在Docker容器里很容易檢測到配置漂移或預期的配置變更。“docker diff”命令可以顯示對文件系統的更改——無論更改操作是文件添加��、刪除還是修改�����。
除了在可能的情況下運行一個只讀容器���,我們 還 提出以下 建議 ,以確保在生產環境中容器的安全:
- 運行一個 Alpine Linux 之類的最小的鏡像��,Alpine Linux是基于安全思想而設計的�����。它的內核上打了一個grsecurity的非官方移植的補丁��。 Grsecurity 是一套對Linux內核的安全增強方法�����,它包括權限控制以及消除基于漏洞的內存崩潰的可能,具體方法是將那些使系統可能被攻擊的方法減少到最少����。
- 限制對CPU、RAM等資源的使用�����,以防止DoS攻擊�。
- 在操作系統中配置線程和進程限制。
- 采用sysctl之類標準的Linux內核強化程序��。
- 每個容器中只運行一個應用程序�����。建議這么做��,是因為它減小了受攻擊面����,即對于一個給定的容器,可能的漏洞數量就只取決于在該容器上運行的應用程序了�����。
