假设我在Linux机器上运行带有恶意软件的docker容器,可以做些什么损坏?
在CPU,内存,磁盘I / O,网络I / O,系统......上运行Docker的安全问题清单是什么?
我的第一个猜测(完成):
容器将能够刻录我的CPU,因为无法限制容器可以使用的CPU百分比。
它也可以直接访问我的Linux内核,这可能也不是很好(如果不是用SE Linux锁定的话)。
是否可以完全填满我的磁盘或将蹩脚的东西注入内存?
答案 0 :(得分:2)
是的,它可以访问您的内核,所以基本上,您有一些小保护,因为您可以看到它here。
关于刻录CPU,当CPU达到某个温度时,某些主板关闭计算机以避免“烧毁”CPU(如果你正在谈论的话)。
您可以采取一些措施来提高安全性,因为您可以看到它here:
SELinux - 启用此功能会自动为每个容器生成一个MCS标签,限制其造成损坏的能力。
只读 - 您还可以将容器标记为只读,这样可以允许您将容器的大部分映像设置为只读,这可能使攻击者更难部署恶意软件。
自托管注册表 - 为了降低图像篡改,加载恶意容器,泄露机密或以其他方式使自己面临风险,您可以在内部托管注册表。 https://github.com/dogestry/dogestry是一个位于S3之上的示例,尽管还有其他选项。