Ark*_*kon 5 linux security containers cgroups docker
假设我在我的 Linux 机器上运行一个带有恶意软件的 docker 容器,可以造成什么损害?
在 CPU、内存、磁盘 I/O、网络 I/O、系统方面运行 Docker 的安全问题列表是什么?
我的第一个猜测(完成):
容器将能够消耗我的 CPU,因为无法限制容器可以使用的 CPU 百分比。
它还可以直接访问我的 Linux 内核,这可能也不是很好(如果没有被 SE Linux 锁定)。
它是否能够完全填满我的磁盘或将糟糕的东西注入内存?
是的,它可以访问您的内核,所以基本上,您有很小的保护,正如您在此处看到的那样。
关于烧毁你的CPU,当CPU达到一定温度时,一些主板会关闭计算机以避免“烧毁”CPU(如果是你所说的)。
您可以采取一些措施来提高安全性,如下所示:
SELinux - 启用此功能将自动为每个容器生成 MCS 标签,限制其造成损害的能力。
只读 - 您还可以将容器标记为只读,这样您就可以将容器映像的大部分设置为只读,从而使攻击者更难部署恶意软件。
自托管注册表 - 为了降低图像篡改、加载恶意容器、泄露机密或以其他方式使自己面临风险的风险,您可以在内部托管注册表。https://github.com/dogestry/dogestry是位于 S3 之上的一个示例,尽管还有其他选项。
| 归档时间: |
|
| 查看次数: |
213 次 |
| 最近记录: |