„Docker“ yra viena iš dažniausiai naudojamų konteinerių platformų ir yra labai mėgstama tarp programinės įrangos inžinierių. Jame yra galingas CLI įrankis, skirtas valdyti „Docker“ konteinerius ir kitas susijusias užduotis.
Pagal numatytuosius nustatymus jums reikia root teisių, kad galėtumėte vykdyti visas su „Docker“ susijusias komandas „Linux“. Žinoma, patogumo dėlei galite tai pakeisti ir paleisti Docker komandas be root teisių, tačiau turėtumėte žinoti apie saugumo pasekmes.
Kas yra Docker atakos paviršius?
Atakos paviršius yra atakos taškų skaičius, labiau panašus į langų skaičių, kurį piktybinis vartotojas gali naudoti, kad patektų į jūsų sistemą ir sukeltų sumaištį. Paprastai IT sistemos turi turėti minimalų atakos paviršių, kad būtų sumažinta saugumo rizika.
Apskritai Docker puolimo paviršius yra labai minimalus. Sudėtiniai rodiniai veikia saugioje izoliuotoje aplinkoje ir nedaro įtakos pagrindinio kompiuterio operacinei sistemai, nebent kitaip. Be to, „Docker“ konteineriuose teikiamos tik minimalios paslaugos, todėl jis yra saugesnis.
Galite sukonfigūruoti „Linux“ sistemą valdyti „Docker“ be sudo teisių. Tai gali būti patogu kūrimo aplinkoje, bet gali būti rimta saugumo spraga gamybos sistemose. Štai kodėl niekada neturėtumėte paleisti „Docker“ be sudo.
1. Galimybė valdyti Docker konteinerius
Be sudo privilegijų kiekvienas, turintis prieigą prie jūsų sistemos ar serverio, gali valdyti kiekvieną Docker aspektą. Jie turi prieigą prie jūsų „Docker“ žurnalo failų ir gali sustabdyti bei ištrinti konteinerius savo nuožiūra arba netyčia. Taip pat galite prarasti svarbius duomenis, kurie yra gyvybiškai svarbūs verslo tęstinumui.
Jei naudojate „Docker“ konteinerius gamybinėje aplinkoje, prastovos praranda verslą ir pasitikėjimą.
2. Valdykite pagrindinio kompiuterio OS katalogus
„Docker Volumes“ yra galinga paslauga, leidžianti bendrinti ir išsaugoti konteinerio duomenis įrašant juos į nurodytą pagrindinio kompiuterio OS aplanką.
Viena didžiausių grėsmių, kurias kelia „Docker“ paleidimas be sudo, yra ta, kad bet kas jūsų sistemoje gali valdyti pagrindinio kompiuterio OS katalogus, įskaitant šakninį katalogą.
Viskas, ką jums reikia padaryti, tai paleisti „Linux Docker“ vaizdą, pavyzdžiui, „Ubuntu“ vaizdą, ir prijungti jį prie šakninio aplanko naudodami šią komandą:
docker run -ti -v /:/hostproot ubuntu bashKadangi „Linux Docker“ konteineriai veikia kaip pagrindinis vartotojas, tai iš esmės reiškia, kad turite prieigą prie viso šakninio aplanko.
Pirmiau minėta komanda atsisiųs ir paleis naujausią „Ubuntu“ vaizdą ir prijungs jį prie šakninio katalogo.
„Docker“ konteinerių terminale eikite į /hostproot naudojant katalogą cd komanda:
cd /hostprootŠio katalogo turinio sąrašas naudojant ls komandą rodomi visi pagrindinės OS failai, kurie dabar yra jūsų sudėtiniame rodinyje. Dabar galite manipuliuoti failais, peržiūrėti slaptus failus, paslėpti ir neslėpti failus, keisti leidimus ir pan.
3. Įdiekite kenkėjišką programinę įrangą
Gerai sukurtas Docker vaizdas gali veikti fone ir manipuliuoti jūsų sistema arba rinkti neskelbtinus duomenis. Dar blogiau, kad kenkėjiškas vartotojas gali paskleisti kenkėjišką kodą jūsų tinkle per „Docker“ konteinerius.
Yra keletas praktinių Docker konteinerių naudojimo atvejų, o su kiekviena programa ateina skirtingas saugumo grėsmių rinkinys.
Apsaugokite „Docker“ konteinerius sistemoje „Linux“.
„Docker“ yra galinga ir saugi platforma. „Docker“ paleidimas be sudo padidina atakos paviršių ir padaro sistemą pažeidžiama. Gamybos aplinkoje labai rekomenduojama naudoti sudo su Docker.
Kai sistemoje tiek daug vartotojų, tampa labai sunku kiekvienam vartotojui priskirti leidimus. Tokiais atvejais geriausios prieigos kontrolės praktikos laikymasis gali padėti išlaikyti sistemos saugumą.