Avec le développement rapide de la technologie de conteneurisation, les problèmes de sécurité ont progressivement attiré l'attention des gens. Dans un environnement de déploiement conteneurisé, l'isolation de sécurité et la gestion des autorisations des conteneurs sont cruciales. Cet article expliquera comment utiliser Docker pour l'isolation sécurisée et la gestion des autorisations des conteneurs, et fournira des exemples de code pour aider les lecteurs à mieux comprendre.
1. Utiliser des utilisateurs et des groupes pour l'isolement de sécurité
Par défaut, Docker utilise les privilèges de l'utilisateur root lors de son exécution dans un conteneur. S'il n'est pas restreint, le conteneur disposera de toutes les autorisations de l'hôte, ce qui est évidemment dangereux. Par conséquent, afin de rendre les conteneurs Docker plus sécurisés, nous devons limiter les autorisations du conteneur. Une façon d’y parvenir consiste à isoler la sécurité des utilisateurs et des groupes.
Tout d'abord, nous devons créer un nouvel utilisateur et un nouvel groupe dans l'image Docker pour limiter les autorisations du conteneur. Utilisez les commandes suivantes pour créer de nouveaux utilisateurs et groupes dans le Dockerfile.
RUN groupadd -r mygroup && useradd -r -g mygroup myuser
Cette commande créera un nouvel utilisateur nommé "myuser" et l'ajoutera à un nouveau groupe nommé "mygroup". Utilisez le paramètre "-r" pour définir les utilisateurs et les groupes au niveau du système.
Après avoir créé de nouveaux utilisateurs et groupes, nous devons basculer vers les nouveaux utilisateurs dans l'application dans le conteneur. Ceci peut être réalisé en définissant ENTRYPOINT ou CMD.
USER myuser
Ensuite, nous pouvons passer au nouveau groupe avec la commande suivante.
RUN chgrp mygroup /path/to/file
Cette commande change le groupe du fichier /group/to/file en "mygroup".
2. Utilisez des espaces de noms de conteneurs pour une isolation sécurisée
Les espaces de noms de conteneurs sont une fonctionnalité du noyau Linux qui permet une isolation logique des processus et des ressources. En utilisant des espaces de noms de conteneurs, vous pouvez créer des environnements d'exécution isolés entre les conteneurs, améliorant ainsi la sécurité des conteneurs.
En utilisant l'isolation du réseau, vous pouvez isoler les conteneurs de l'hôte et des autres conteneurs. Nous pouvons isoler le conteneur du réseau privé à l'aide de la commande suivante.
docker run --net=bridge --name=mycontainer imagename
En utilisant l'isolation PID, vous pouvez isoler le conteneur des autres processus sur l'hôte. Nous pouvons isoler le conteneur avec un PID privé en utilisant la commande ci-dessous.
docker run --pid=container:target_container --name=mycontainer imagename
En utilisant l'isolation UTS, vous pouvez isoler le conteneur de l'hôte. Utilisez la commande ci-dessous pour isoler le conteneur avec un UTS privé.
docker run --uts=private --name=mycontainer imagename
3. Utilisez Seccomp pour la gestion des autorisations
Seccomp est une fonction du noyau Linux qui est utilisée pour limiter l'accès d'un processus aux appels système. À l'aide de Seccomp, vous pouvez définir les appels système qu'un processus est autorisé à exécuter, réduisant ainsi le risque qu'un processus exploite les vulnérabilités d'élévation de privilèges. Dans Docker, vous pouvez utiliser les politiques Seccomp pour limiter les capacités d'un conteneur.
Tout d'abord, nous devons créer un profil Seccomp. Vous pouvez utiliser un éditeur de texte pour créer un fichier appelé « seccomp.json » et définir les appels système autorisés par le conteneur.
{ "defaultAction": "SCMP_ACT_ALLOW", "syscalls": [ { "name": "write", "action": "SCMP_ACT_ERRNO", "args": [ { "index": 0, "value": 1 }, { "index": 1, "value": 2 } ] }, { "name": "open", "action": "SCMP_ACT_ALLOW" }, { "name": "close", "action": "SCMP_ACT_ALLOW" } ] }
Dans l'exemple ci-dessus, les appels système "write" et "open" sont autorisés, et l'appel système "close" est autorisé à se fermer.
Utilisez la commande ci-dessous pour appliquer la stratégie Seccomp au conteneur.
docker run --security-opt seccomp=./seccomp.json --name=mycontainer imagename
Ici, nous avons spécifié le fichier seccomp.json comme fichier de configuration de la politique Seccomp du conteneur lors de la création du conteneur.
Résumé
Cet article explique comment utiliser Docker pour l'isolation sécurisée et la gestion des autorisations des conteneurs, y compris l'utilisation d'utilisateurs et de groupes, l'utilisation d'espaces de noms de conteneurs et l'utilisation de Seccomp. Avec l’application généralisée de la conteneurisation à l’avenir, la sécurité des conteneurs attirera de plus en plus d’attention. Il est recommandé aux développeurs et au personnel d'exploitation et de maintenance de renforcer l'isolement de sécurité et la gestion des autorisations des conteneurs lors du déploiement des conteneurs.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
La différence entre les K8 et Docker
Quelles sont les méthodes permettant à Docker d'entrer dans le conteneur ?
Que dois-je faire si le conteneur Docker ne peut pas accéder au réseau externe ?
A quoi sert l'image Docker ?
Google Earth ne parvient pas à se connecter à la solution serveur
Utilisation de getproperty
Linux voir la carte réseau
configuration des variables d'environnement Java
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
