Docker安全管理与HTTPS协议

当天不总结完不回家2024-07-26 10:39

1 Docker容器的安全管理注意事项

Docker本身的架构与机制就可能产生问题,例如这样一种攻击场景,黑客已经控制了宿主机上的一些容器,或者获得了通过在公有云上建立容器的方式,然后对宿主机或其他容器发起攻击。

  1. 容器之间的局域网攻击

主机上的容器之间可以构成局域网,因此针对局域网的ARP欺骗、端口扫描、广播风暴等攻击方式便可以用上。

所以,在一个主机上部署多个容器需要合理的配置网络安全,比如设置 iptables 规则。

  1. DDoS 攻击耗尽资源

Cgroups 安全机制就是要防止此类攻击的,不要为单一的容器分配过多的资源即可避免此类问题。

  1. 有漏洞的系统调用

Docker 与虚拟机的一个重要的区别就是 Docker 与宿主机共用一个操作系统内核。

一旦宿主内核存在可以越权或者提权漏洞,尽管Docker使用普通用户执行,在容器被入侵时,攻击者还可以利用内核漏洞跳到宿主机做更多的事情。

  1. 共享root用户权限

如果以 root 用户权限运行容器(docker run --privileged),容器内的 root 用户也就拥有了宿主机的root权限。

docker容器使用的安全注意点:

尽量别做的事:

尽量不用 --privileged 运行容器(授权容器root用户拥有宿主机的root权限)

尽量不用 --network host 运行容器(容器共享宿主机的网络命名空间)

尽量不在容器中运行 ssh 服务

尽量不把宿主机的关键敏感目录挂载到容器中

尽量要做的事:

尽量使用较小体积的镜像运行容器

尽量以单一应用进程运行容器

尽量从官方仓库中拉取镜像

尽量保证容器中的应用是最新稳定版本

尽量安装使用最新稳定版本的docker程序

尽量以最低权限运行容器

尽量给docker目录(默认/var/lib/docker/)分配独立的文件系统

尽量以资源限制的方式运行容器 -m --memory-swap --cpu-quota --cpuset-cpus --device-write-bps

尽量以只读的方式挂载宿主机目录到容器数据卷中,持久化容器数据时除外 -v 宿主机目录:容器数据卷目录:ro

尽量设置容器的重启策略和次数 --restart always|on-failure:N

总结:使用最少资源和最小权限运行容器,此为 docker 容器安全的核心思想。

2 HTTPS 证书认证

如何获取证书?

1)从证书颁发机构(CA)如 Let's Encrypt、DigiCert 或云服务商购买或者申请免费证书(免费证书的有限期一般为一年以内)

2)在本地使用 openssl、mkcert、cfssl 等工具生成自签名证书

openssl创建证书的步骤:证书文件和私钥文件

1)创建CA私钥和证书

openssl genrsa -out ca.key 2048 #创建CA私钥文件(通常是 .crt 或 .pem 扩展名)

openssl req -new -x509 -days 3650 -key ca.key -out ca.pem #基于CA私钥创建CA证书文件(通常是 .key 扩展名)

2)创建服务端证书自签名请求文件

openssl genrsa -out server.key 2048 #创建服务端私钥文件

openssl req -new -key server.key -out server.csr #基于服务端私钥创建服务端证书自签名请求文件

3)创建服务端证书

openssl x509 -req -days 3650 -in server.csr -CA ca.pem -CAkey ca.key -CAcreateserial -out server.pem #基于CA私钥、CA证书和服务端证书自签名请求文件签发服务端证书文件

配置nginx支持https

1)安装时需要添加 --with-http_ssl_module 模块(启用SSL功能)

2)修改配置文件,添加ssl配置

server {

listen 443 ssl; #设置ssl访问端口为 443

server_name www.xy101.com; #设置绑定证书的域名

ssl_certificate /etc/nginx/ssl/server.pem; #设置服务端证书文件路径

ssl_certificate_key /etc/nginx/ssl/server.key; #设置服务端私钥文件路径

#其它ssl配置参数

ssl_session_cache shared:SSL:1m; #设置ssl缓存

ssl_session_timeout 5m; #设置客户端连接可复用ssl缓存的有效时间

ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #设置支持的ssl协议版本

ssl_ciphers ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL; #设置支持的加密套件

ssl_prefer_server_ciphers on; #设置优先使用服务端的加密套件

....

相关推荐
学Linux的语莫5 小时前
k8s常用命令
linux·容器·kubernetes
火山引擎开发者社区6 小时前
Seedance 2.0上线火山方舟体验中心,API即将开放
docker·vim·emacs
freephp6 小时前
睡前讲一段docker编译镜像的故事
docker
0xSec笔记本挖呀瓦呀挖9 小时前
Windows后门应急(二)--计划任务后门分析与处置|Windows取证分析
windows·安全·web安全·网络安全·系统安全·网络攻击模型·安全威胁分析
帷幄庸者10 小时前
跨网的Kubernetes集群:从零构建混合云架构
容器·架构·kubernetes
bepeater123410 小时前
使用Kubernetes部署Spring Boot项目
spring boot·容器·kubernetes
大模型玩家七七11 小时前
技术抉择:微调还是 RAG?——以春节祝福生成为例
android·java·大数据·开发语言·人工智能·算法·安全
福大大架构师每日一题11 小时前
redis 8.4.1 正式发布:安全升级、性能强化与多模块重大修复详解
数据库·redis·安全
终生成长者12 小时前
Kubernetes常用操作与概念总结--从服务器导出mongo数据,并下载到本地
服务器·容器·kubernetes
x-cmd12 小时前
[x-cmd] age v1.3.0:面向未来的文件加密工具链升级
安全·文件·量子计算·加密·x-cmd·age
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03openClaw安装飞书插件|核心踩坑:spawn EINVAL 错误终极解决指南04HTB 赛季10 - Pterodactyl - user05openclaw 配置飞书 报错 应用未建立长连接06UV安装并设置国内源07243 行 microGPT:把“训练 + 推理”拆到骨头里08openclaw配置教程(linux+局域网ollama)09如何解决 OpenClaw “Pairing required” 报错:两种官方解决方案详解10AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南