Docker脆弱性分析和安全增强.docVIP

Docker脆弱性分析和安全增强 　　【 摘 要 】 容器虚拟化技术并没有虚拟任何硬件，它使用宿主机的系统内核，通过Namespace技术来隔离不同的容器隔离应用程序来实现虚拟化。因此它是工作在操作系统级的虚拟化技术。然而共享内核的方式也带来了许多安全问题。因此我们着手分析Docker主要部件Docker容器、Docker配置和Docker共享内核的技术原理，并且尝试寻找其脆弱点，从而针对存在的威胁提出解决方案，使得Docker的安全性足以适应生产环境。 　　【 关键词 】 计算机应用；Docker安全；脆弱性分析；虚拟化 　　【 中图分类号 】 TP309 【 文献标识码 】 A 　　【 Abstract 】 Linux Container technology does not virtualize any hardware， it just uses the host’s system kernel with namespace technology to isolate different containers and applications to achieve virtualization. Therefore， it is a virtualization technology that works on the operating system level. However， the way of sharing the kernel also brings many security problems. So in this paper， we had focused on analyze the major components of Docker： Docker Engine， Docker Repositories and the technology principles of Docker sharing kernel， and tried to find its vulnerability. Moreover， we had strengthened the most fragile places， so that we can finally propose solutions to resolve the risks of the existence now. 　　【 Keywords 】 computer application； docker security； vulnerability analysis； virtualization 　　1 引言 　　虚拟化技术是一种区别于传统的资源管理技术，它将计算机的计算能力、网络、存储等各类物理资源抽象化，打破了各物理结构间原本不可切割的障碍，使得用户可以按照需求更加经济、合理地去分配使用这些资源。虚拟化技术能够实现在一个平台上独立地运行多个既可以互不干扰而又可以协同工作的运算单元。Docker容器将用户程序、运行时库、系统工具、系统库等所有你会在服务器上需要的东西打包到一个完备的文件系统中。虚拟机通过模拟计算机硬件，每个虚拟机使用相互独立的硬件模拟器，都像拥有独立的硬件平台一样。对于虚拟机而言，每一个虚拟机都包含应用程序、运行库和相互独立的操作系统。 　　容器技术的虚拟化则是依托于Linux内核的LXC技术，辅以Namespace技术隔离不同的容器。容器内仅包含应用程序和必要的运行库，容器内运行的系统内核则使用与宿主机共享的系统内核。然而Docker共享系统内核的模式较虚拟机这种独立内核的模式自然安全性会降低很多，因为Docker暴露了更多的攻击面。不过只要在Docker内运行并提供合理的服务，同时再做好一些防护和监控措施，Docker仍然是一个非常实用的虚拟化工具。 　　2 Docker组件安全分析 　　Docker组件主要包含Docker引擎，Docker容器和Docker仓库三个部分。Docker引擎是Docker运行时的服务提供者，为整个Docker提供支持。其中包含了Docker使用的各种安全技术，比如Namespace、ControlGroup等。Docker容器是用户需要运行提供生产力的服务包，这里面运行着许多自定义的应用程序。Docker仓库是用户集中存放管理镜像的地方，当用户需要时Docker将会从这里下载指定容器或镜像。因此我们将攻击面概括为Docker引擎、系统内核以及Docker仓库三个部分。本文将深入讨论各部分内部以及之间的脆弱性。 　　2.1 Docker引擎脆弱性分析 　　2.1.1文件系统隔离 　　Docker 总体上使用Mount 命名空间来隔离文件系统。在写入数据时Docker