Jam*_*mes 9 security containers application-security docker
据我了解,默认情况下将在其自己的网络堆栈中创建一个 docker 容器。
我想--net host在运行 docker 容器时使用该标志以允许使用所有主机端口。
我所知道的缺点:
我的问题是,允许容器使用完整的网络堆栈会对安全产生什么影响?
这有点矫枉过正,但通常最好对发生的威胁进行建模,而不是说“不要这样做,因为这是不安全的”。
我创建了一个 Web 控制面板,用于管理 Docker 容器中的游戏服务器。基本上每个容器都运行一个 FTP 服务器和游戏服务器。我每个主机运行大约 50 个容器。客户端安装 mods 需要打开端口。
这听起来像是您托管同一游戏的多个实例,例如《我的世界》。
然而,mod 可能会引入 MySQL 或 MongoDB 等新软件,这意味着新的攻击面会出现。
我假设启用进程控制组 (cgroup) 来防止一个容器使用主机上的完整 CPU 或 GPU。
--net host启用。作弊者知道他们可以访问数据库来更改存储在本地 MySQL 数据库中的硬币数量,或者将自己设置为另一个实例的主持人。--net host之前,只有某些端口暴露,使用 Mongo 的 mod 的游戏其他实例是安全的。您可能在公共防火墙中禁用了 Mongo 端口。
但是,现在所有容器都可以使用 彼此聊天--net host,并且没有启用防火墙来防止彼此恶意向彼此发送流量。
因此,当 mod 更新为不仅包含加密矿工还包含端口扫描器时,mod 会扫描 localhost 并找到打开的 MongoDB。然后,假设容器应用了 cgroup,它就会接管其他容器并使用主机的更多 CPU/GPU。
如果没有应用 cgroup(进程利用率控制组),那么唯一的威胁就是额外的访问。
之前,只有某些端口暴露,使用带有 MySQL 的 mod 的游戏的其他实例是安全的。您可能在公共防火墙中禁用了 SQL 端口。
但是,现在所有容器都可以使用 彼此聊天--net host,并且没有启用防火墙来防止彼此恶意向彼此发送流量。
因此,当作弊者在其实例上安装他们的 mod 时,他们会直接访问 MySQL 服务器并增加存储的硬币数量,从而使他们变得富有。服务器版主很困惑,因为没有游戏日志显示此访问,他们想知道他们的服务器是否已被黑客入侵。
总之,--net host假设您有活动防火墙,则不会添加额外的外部访问,但它确实减少了主机上运行的容器之间的隔离,这意味着如果您托管恶意容器,则会增加非恶意容器攻击的可能性。被利用。
| 归档时间: |
|
| 查看次数: |
3334 次 |
| 最近记录: |