那些遇到过的问题

使用 AppArmor 包含 Docker 引擎

Fer*_*eia 6 security apparmor 14.04 docker

在面对提醒的是,码头工人引擎应该运行包含用的AppArmor或SELinux的,如何在Ubuntu 14.04 AppArmor配置下运行多克?

泊坞窗安全文档LXC文档提的是Ubuntu自带的用于LXC AppArmor的模板。必须做些什么才能利用它?

假设默认的 Ubuntu Server 14.04 主机和 Docker 安装了curl -s https://get.docker.io/ubuntu/ | sudo sh,接下来必须做什么才能在运行容器时将 Docker 引擎本身包含在 AppArmor 下?

Pan*_*her 4

嗯,这是使用 Ubuntu 存储库外部的软件包时出现的问题。您需要要求 Docker 引擎开发人员为您编写 apparmor 配置文件,或者编写您自己的配置文件。与 selinux 配置文件相同。

现在您将在这里开始获取选项,您是否使用 LXC、apparmor、selinux 等。

例如,Docker 开发人员认为您需要更新 - http://blog.docker.com/,这当然是管理这种情况的一种方法。

Apparmor 和 selinux 可以(可能)保护您免受零日攻击,但攻击可以通过更新修复。

apparmor的优点是比较容易学习。缺点是你必须写自己的个人资料。

请参阅 apparmor 文档

https://help.ubuntu.com/community/AppArmor#Profile_customization

https://wiki.ubuntu.com/AppArmor

或者,对于一个实际的例子,使用一个相当简单的程序,请参见http://blog.bodhizazen.com/linux/apparmor-privoxy-profile/

只要我们有意见...

与 Ubuntu 相比,RHEL 和 Fedora 在虚拟化方面稍微领先一些。RHEL 正在与 Docker 合作提供支持,包括 selinux

http://www.redhat.com/about/news/press-archive/2014/4/red-hat-docker-expand-collaboration

我不确定 Fedora 和 Docker,但 Fedora 使用 selinux 和 virtmanager 来管理 LXC - http://major.io/2014/04/21/launch-secure-lxc-containers-on-fedora-20-using-selinux -和-svirt/

最终,您必须查看意见并选择最适合您的解决方案。

Jam*_*sCW 0

docker-engine 的当前版本是 1.10.2-cs1,这里是 Docker 在https://docs.docker.com/engine/security/apparmor/提供的用于运行容器的默认 AppArmor 配置文件

#include <tunables/global>


profile docker-default flags=(attach_disconnected,mediate_deleted) {

  #include <abstractions/base>


  network,
  capability,
  file,
  umount,

  deny @{PROC}/{*,**^[0-9*],sys/kernel/shm*} wkx,
  deny @{PROC}/sysrq-trigger rwklx,
  deny @{PROC}/mem rwklx,
  deny @{PROC}/kmem rwklx,
  deny @{PROC}/kcore rwklx,

  deny mount,

  deny /sys/[^f]*/** wklx,
  deny /sys/f[^s]*/** wklx,
  deny /sys/fs/[^c]*/** wklx,
  deny /sys/fs/c[^g]*/** wklx,
  deny /sys/fs/cg[^r]*/** wklx,
  deny /sys/firmware/efi/efivars/** rwklx,
  deny /sys/kernel/security/** rwklx,
}
Run Code Online (Sandbox Code Playgroud)

要将新配置文件加载到 AppArmor 中: $ apparmor_parser -r -W /path/to/your_profile

当您运行容器时,它会使用 docker-default 策略,除非您使用 security-opt 选项覆盖它。例如,以下内容显式指定了不同的 docker 策略:

$ docker run --rm -it --security-opt apparmor:docker-different hello-world

归档时间:

查看次数:

6562 次

最近记录:

8 年 前
相关归档
持续启动错误问题 - 什么是 com.ubuntu.apport-support-gtk-root 22
使用正确的密码 Gnome 和 Ubuntu 14.04 无法解锁锁定屏幕 15
如何在启动时通过 SSH 解锁完全加密的 Ubuntu 11.10 系统? 8
如何在 Ubuntu 14.04(安装了 LAMP)中将 PHP 从 5.5.9 降级到 5.4 6
如何知道sfill free space擦除过程的进度? 6
键盘一直默认为错误的布局 5
如何使用 UEFI 在 14.04 下运行 Memtest? 5
我(愚蠢地)让我的笔记本电脑保持登录状态,我能知道我不在时做了什么吗? 4
在 Ubuntu 22.04 中对文件进行安全/密码保护访问 2
防止Ubuntu在登录时将信息泄露到互联网 -2
难疑归档
如何从命令行搜索可用的包? 752
如何检查硬盘性能 414
如何使用 youtube-dl 将播放列表下载为 mp3 格式? 186
如何在没有 root 访问权限的情况下安装软件包? 176
更改默认 crontab 编辑器 169
我的 /boot 分区达到 100%,现在我无法升级。无法移除旧内核以腾出空间 163
如何使用命令行界面获取日期和时间? 155
如何找出我正在运行的内核版本? 125
“ls -ld /tmp”输出中的“t”字母是什么? 120
更新后我应该为“GRUB 安装设备”选择什么? 113