Docker的安全性之我⻅见 艾奇伟、Shawn   我是谁？   大鹰、e4gle   ¨ Linux系统安全技术爱好者   ¨ 绿色兵团UNIX版版主、西祠胡同UNIX版版主、 chinaunix安全版版主（曾经）   ¨ 各主流操作系统的MAC底层实现   ¨ Kiwi.ai@qq.com   ¨  我是谁？   l  l  citypw(   Shawn   Chang),   GNU/Linux安全工程师,   自由软件狂 热分子，Hardnedlinux社区发起人, citypw@gmail.com 大纲   Docker的标签   ¨ 大家对安全性的担忧   ¨ 安全问题解析   ¨ 认清楚Docker   ¨ 安全的使用Docker   ¨ GRSEC以及防护   ¨  Docker的标签     Docker的标签   Linux 容器 PaaS Docker 虚拟 机 应用 沙箱 大家对安全性的担忧     大家对安全性的担忧   没有 KVM/ VMs安全 容器内外 共享一个 root 降低安全 性来换取 性能 LXC足够 安全吗 安全问题解析   安全威胁解析   内核漏洞，syscall漏洞   ¨ 容器中有些操作需要root权限   ¨ NS并没有覆盖系统所有的资源   ¨ 配置的问题   ¨    内核漏洞   容器与宿主机共用一个内核实例   ¨ 在容器中可以直接调用内核提供的系统调用   ¨ 当系统调用有漏洞时，从容器可以直接取得内核 的权限   ¨  Syscall漏洞   hIp://lwn.net/ArLcles/268783/   容器中有些操作需要root权限   对网络接口高级访问   ¨ 直接访问设备   ¨ 文件系统挂载   ¨  NS并没有覆盖系统所有的资源   在Linux中，不是所有资源都可以进行NS的隔离   ¨ Docker只隔离了5类资源：Process， Network， Mount， Hostname， Shared Memory   ¨ 还有很多重要的资源是开方的：SELinux， Cgroups，/sys， /proc/sys，/dev/sd* ...   ¨  配置的问题   没有充分利用容器提供的隔离功能，向容器内部 开放了太多或错误的资源   ¨  认清楚Docker   认清楚Docker   认清楚Docker   一个比喻: PaaS就像合租房   ¤ KVM/VMs：一个独立的小隔间，有门有锁   ¤ Docker：只是从你的感觉（声、光、触）进行了隔离。给每人一个 眼镜、耳机。。   ¨  Docker：应用容器   对宿主机来说，docker实例，就是其内在的应用。 在安全上，应该像对侍其应用一样，来对侍它。   ¨  不是虚拟机   Docker具有很多虚拟机的特性，但它不是虚拟机   ¨ 如果你需要的是虚拟机，不应该勉强Docker   ¨