Docker安全

目录

[一. cgroup](#一. cgroup)

[2. cpu优先级](#2. cpu优先级)

[3. 内存资源限制](#3. 内存资源限制)

[4. 磁盘io限制](#4. 磁盘io限制)

[二. lxcfs隔离](#二. lxcfs隔离)

[三. 容器特权](#三. 容器特权)


一. cgroup

1. cpu资源限制

复制代码
docker run -it --rm --cpu-period 100000 --cpu-quota 20000 ubuntu
root@433a1612a171:/# dd if=/dev/zero of=/dev/null &


2. cpu优先级

复制代码
docker run -it --rm  ubuntu
root@0280fc49f2d0:/# dd if=/dev/zero of=/dev/null &
docker run -it --rm --cpu-shares 100 ubuntu
root@b75b4d5066b8:/# dd if=/dev/zero of=/dev/null &
/sys/devices/system/cpu/cpu1
echo 0 > online


测试时只保留一个cpu核心可用,只有争抢cpu资源时优先级才会生效

3. 内存资源限制

复制代码
docker run -d --name demo --memory 200M --memory-swap=200M nginx
/sys/fs/cgroup/memory
mkdir x1
cd x1/
echo 209715200 > memory.limit_in_bytes
yum install -y libcgroup-tools.x86_64
cd /dev/shm/
cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=300
free -m


复制代码
cd /sys/fs/cgroup/memory/x1/
echo 209715200 > memory.memsw.limit_in_bytes
cd /dev/shm
cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=300


控制用户内存

复制代码
vim /etc/cgrules.conf
yyl     memory  x1/
systemctl  start cgred.service
su - yyl
cd /dev/shm/
dd if=/dev/zero of=bigfile bs=1M count=200

4. 磁盘io限制

复制代码
docker run -it --rm --device-write-bps /dev/sda:30MB ubuntu
root@3226b0fc6231:/# dd if=/dev/zero of=bigfile bs=1M count=100 oflag=direct

二. lxcfs隔离

复制代码
yum install lxcfs-2.0.5-3.el7.centos.x86_64.rpm
lxcfs /var/lib/lxcfs &
docker run  -it -m 256m \
>       -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
>       -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
>       -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
>       -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
>       -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
>       -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
>       ubuntu
free -m

三. 容器特权

默认容器内的用户是受限的

复制代码
docker run -it --rm busybox


开启容器特权

复制代码
docker run -it --rm --privileged busybox


设置容器白名单

复制代码
docker run -it --rm --cap-add=NET_ADMIN busybox
相关推荐
大E帝国子民123 分钟前
Docker 部署 RocketMQ 5
docker·容器·rocketmq
江湖有缘1 小时前
【保姆级教程】使用Docker Compose一键搭建Picsur私有图床服务
java·docker·容器
技术不好的崎鸣同学1 小时前
[GXYCTF2019]Ping Ping Ping 思路及解法
网络·安全·web安全
java_logo4 小时前
5 分钟共享打印机:用 Docker 一键部署 CUPS
运维·docker·容器·cups·网络打印机·共享打印机·docker部署cups
fen_fen4 小时前
Docker部署PostgreSQL10 开启SSL和证书安装文档
docker·容器·ssl
GEO_youxuan5 小时前
2026年儿童电话手表推荐:定位精度、通话安全与健康监测深度横评
安全
数据知道5 小时前
安全报告怎么写才专业:渗透测试报告模板与踩坑
安全·网络安全·漏洞修复·安全报告·渗透测试报告
bukeyiwanshui5 小时前
20260626 k8sControllers介绍
云原生·容器·kubernetes
EnCi Zheng6 小时前
N3A-一个端口只能给一个程序使用吗?[特殊字符]
网络·nginx·docker
doiito6 小时前
【安全,架构】RustyVault 项目深度分析报告以及和HashiCorp Vault的差异
后端·安全·rust