Protezione Docker e LXC

17

Il concetto proposto da Docker e LXC sembra essere, da una prospettiva di sicurezza, una mossa nella giusta direzione. Paura di un giorno zero MySQL? Eseguirlo in un contenitore Docker e non sarà in grado di causare danni al sistema operativo host.

Tuttavia, non è sicuramente un proiettile d'argento. Cosa è necessario fare per proteggere i contenitori Docker e LXC? Quali sono i modelli di attacco e in che modo possono essere protetti e mitigati?

    
posta Naftuli Kay 01.04.2014 - 09:30
fonte

2 risposte

9

Docker e LXC sono un grande concetto; isolare le applicazioni potenzialmente vulnerabili dal resto del sistema per limitare il danno che possono fare se qualcosa va storto.

Non sono proiettili d'argento, principalmente a causa di limitazioni nel design di Linux stesso, vale a dire root è root, anche all'interno di un chroot. link

Ci sono modi per tappare i fori che LXC e docker non ancora coprono. Il modo più popolare è di usarli in combinazione con controlli di accesso obbligatori come selinux. link

    
risposta data 01.04.2014 - 10:19
fonte
7

Davvero nello stesso modo in cui si protegge qualcos'altro. LXC non aggiunge nulla di nuovo all'equazione, è solo usando cgroup per aggiungere più isolamento tra le attività. E Docker è solo LXC automatizzato.

Proteggi il tuo server mentre sempre proteggi il tuo server. Isolamento dei processi, privilegi solo se necessari, aggiornamento del software, gestione dei log, monitoraggio ... tutto ciò che hai già sentito.

    
risposta data 01.04.2014 - 20:10
fonte

Leggi altre domande sui tag