Docker安全

目录

[一. cgroup](#一. cgroup)

[2. cpu优先级](#2. cpu优先级)

[3. 内存资源限制](#3. 内存资源限制)

[4. 磁盘io限制](#4. 磁盘io限制)

[二. lxcfs隔离](#二. lxcfs隔离)

[三. 容器特权](#三. 容器特权)


一. cgroup

1. cpu资源限制

复制代码
docker run -it --rm --cpu-period 100000 --cpu-quota 20000 ubuntu
root@433a1612a171:/# dd if=/dev/zero of=/dev/null &


2. cpu优先级

复制代码
docker run -it --rm  ubuntu
root@0280fc49f2d0:/# dd if=/dev/zero of=/dev/null &
docker run -it --rm --cpu-shares 100 ubuntu
root@b75b4d5066b8:/# dd if=/dev/zero of=/dev/null &
/sys/devices/system/cpu/cpu1
echo 0 > online


测试时只保留一个cpu核心可用,只有争抢cpu资源时优先级才会生效

3. 内存资源限制

复制代码
docker run -d --name demo --memory 200M --memory-swap=200M nginx
/sys/fs/cgroup/memory
mkdir x1
cd x1/
echo 209715200 > memory.limit_in_bytes
yum install -y libcgroup-tools.x86_64
cd /dev/shm/
cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=300
free -m


复制代码
cd /sys/fs/cgroup/memory/x1/
echo 209715200 > memory.memsw.limit_in_bytes
cd /dev/shm
cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=300


控制用户内存

复制代码
vim /etc/cgrules.conf
yyl     memory  x1/
systemctl  start cgred.service
su - yyl
cd /dev/shm/
dd if=/dev/zero of=bigfile bs=1M count=200

4. 磁盘io限制

复制代码
docker run -it --rm --device-write-bps /dev/sda:30MB ubuntu
root@3226b0fc6231:/# dd if=/dev/zero of=bigfile bs=1M count=100 oflag=direct

二. lxcfs隔离

复制代码
yum install lxcfs-2.0.5-3.el7.centos.x86_64.rpm
lxcfs /var/lib/lxcfs &
docker run  -it -m 256m \
>       -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
>       -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
>       -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
>       -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
>       -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
>       -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
>       ubuntu
free -m

三. 容器特权

默认容器内的用户是受限的

复制代码
docker run -it --rm busybox


开启容器特权

复制代码
docker run -it --rm --privileged busybox


设置容器白名单

复制代码
docker run -it --rm --cap-add=NET_ADMIN busybox
相关推荐
深盾安全5 小时前
ProGuard混淆在Android程序中的应用
安全
容器魔方5 小时前
Bloomberg 正式加入 Karmada 用户组!
云原生·容器·云计算
CYRUS_STUDIO5 小时前
利用 Linux 信号机制(SIGTRAP)实现 Android 下的反调试
android·安全·逆向
白帽黑客沐瑶10 小时前
【网络安全就业】信息安全专业的就业前景(非常详细)零基础入门到精通,收藏这篇就够了
网络·安全·web安全·计算机·程序员·编程·网络安全就业
深盾安全10 小时前
符号执行技术实践-求解程序密码
安全
muyun280010 小时前
Docker 下部署 Elasticsearch 8 并集成 Kibana 和 IK 分词器
elasticsearch·docker·容器
贾维思基11 小时前
被监管警告后,我连夜给系统上了“双保险”!
安全
Nazi611 小时前
k8s的dashboard
云原生·容器·kubernetes
00后程序员张12 小时前
iOS App 混淆与加固对比 源码混淆与ipa文件混淆的区别、iOS代码保护与应用安全场景最佳实践
android·安全·ios·小程序·uni-app·iphone·webview
Devil枫15 小时前
鸿蒙深链落地实战:从安全解析到异常兜底的全链路设计
安全·华为·harmonyos