Docker ir viena no visbiežāk izmantotajām konteinerizācijas platformām, un to ļoti mīl programmatūras inženieri. Tam ir jaudīgs CLI rīks Docker konteineru un citu saistītu uzdevumu pārvaldībai.
Pēc noklusējuma jums ir nepieciešamas root tiesības, lai palaistu visas ar Docker saistītās komandas operētājsistēmā Linux. Protams, jūs varat to mainīt ērtības labad un palaist Docker komandas bez root tiesībām, taču jums jāapzinās drošības sekas.
Kas ir Docker uzbrukuma virsma?
Uzbrukuma virsma ir uzbrukuma punktu skaits, kas vairāk līdzinās logu skaitam, ko ļaunprātīgs lietotājs var izmantot, lai iekļūtu jūsu sistēmā un izraisītu postījumus. Parasti IT sistēmām jābūt minimālām uzbrukuma virsmām, lai samazinātu drošības riskus.
Kopumā Docker uzbrukuma virsma ir ļoti minimāla. Konteineri darbojas drošā izolētā vidē un neietekmē resursdatora operētājsistēmu, ja vien nav citādi. Turklāt Docker konteineri nodrošina tikai minimālus pakalpojumus, kas padara to drošāku.
Varat konfigurēt savu Linux sistēmu, lai kontrolētu Docker bez sudo privilēģijām. Tas var būt ērti izstrādes vidē, bet var būt nopietna drošības ievainojamība ražošanas sistēmās. Un lūk, kāpēc nekad nevajadzētu palaist Docker bez sudo.
1. Spēja kontrolēt Docker konteinerus
Bez sudo privilēģijām ikviens, kam ir piekļuve jūsu sistēmai vai serverim, var kontrolēt visus Docker aspektus. Viņiem ir piekļuve jūsu Docker žurnālfailiem un tie var apturēt un dzēst konteinerus pēc vēlēšanās vai nejauši. Varat arī zaudēt svarīgus datus, kas ir būtiski uzņēmējdarbības nepārtrauktībai.
Ja izmantojat Docker konteinerus ražošanas vidēs, dīkstāves rezultātā tiek zaudēta uzņēmējdarbība un uzticēšanās.
2. Iegūstiet kontroli pār resursdatora OS direktorijiem
Docker Volumes ir jaudīgs pakalpojums, kas ļauj koplietot un saglabāt konteinera datus, ierakstot tos noteiktā mapē resursdatora OS.
Viens no lielākajiem draudiem, ko rada Docker palaišana bez sudo, ir tas, ka ikviens jūsu sistēmā var iegūt kontroli pār resursdatora OS direktorijiem, tostarp saknes direktoriju.
Viss, kas jums jādara, ir palaist Linux Docker attēlu, piemēram, Ubuntu attēlu, un uzstādīt to saknes mapē, izmantojot šādu komandu:
docker palaist -ti -v /:/hostproot ubuntu bashUn tā kā Linux Docker konteineri darbojas kā saknes lietotājs, tas būtībā nozīmē, ka jums ir piekļuve visai saknes mapei.
Iepriekš minētā komanda lejupielādēs un palaidīs jaunāko Ubuntu attēlu un uzstādīs to saknes direktorijā.
Docker konteineru terminālī dodieties uz /hostproot izmantojot direktoriju cd komanda:
cd /hostprootŠī direktorija satura uzskaitīšana, izmantojot komandu ls parāda visus resursdatora OS failus, kas tagad ir pieejami jūsu konteinerā. Tagad varat manipulēt ar failiem, skatīt slepenos failus, paslēpt un noņemt failus, mainīt atļaujas utt.
3. Instalējiet ļaunprātīgu programmatūru
Labi izstrādāts Docker attēls var darboties fonā un manipulēt ar jūsu sistēmu vai apkopot sensitīvus datus. Vēl ļaunāk, ļaunprātīgs lietotājs var izplatīt ļaunprātīgu kodu jūsu tīklā, izmantojot Docker konteinerus.
Tur ir vairāki praktiski Docker konteineru izmantošanas gadījumi, un ar katru lietojumprogrammu nāk atšķirīgs drošības apdraudējumu kopums.
Nodrošiniet savus Docker konteinerus operētājsistēmā Linux
Docker ir jaudīga un droša platforma. Docker palaišana bez sudo palielina jūsu uzbrukuma virsmu un padara jūsu sistēmu neaizsargātu. Ražošanas vidēs ir ļoti ieteicams lietot sudo ar Docker.
Tā kā sistēmā ir tik daudz lietotāju, kļūst ārkārtīgi grūti piešķirt atļaujas katram lietotājam. Šādos gadījumos labākās piekļuves kontroles prakses ievērošana var palīdzēt uzturēt sistēmas drošību.