ドッカーを安全に稼働させる

Question

ドッカーデーモンにはruns as rootが必要なので、コンテナが侵害された場合、攻撃者がホストのシステムファイルを変更するなどのセキュリティ上の問題を引き起こす可能性があると私は理解します。

攻撃の場合の被害を軽減するための予防策はありますか？

ドッカーデーモンを実行する際に注意すべきことはありますか？私は、vmを持ち上げてvmを稼働させ、代わりにvmで稼働させることを考えました。

Answer 1

ドッカーのセキュリティの実践に関する情報源は、「Docker security」のページです。

は、ユーザーが自分のドッカーデーモンを制御することが許されるべき信頼できます。
これは強力なDocker機能の直接的な結果です。

具体的には、Dockerを使用すると、Dockerホストとゲストコンテナの間でディレクトリを共有できます。コンテナのアクセス権を制限することなくアクセスできます。

REST APIを公開する場合は、httpsで公開する必要があります。あなたは、サーバー上でドッカーを実行する場合

最後に、それはサーバーでのみドッカーを実行し、VMについてドッカー

によって制御されるコンテナ内の他のすべてのサービスを移動することが推奨され、Are Docker containers really secure?」を参照してください。 "

最大の問題は、Linuxのすべてが名前空間でないことです。現在、Dockerはプロセス、ネットワーク、マウント、ホスト名、共有メモリの5つの名前空間を使用してシステムのプロセスビューを変更しています。

これらはユーザーにある程度のセキュリティを提供しますが、決して包括的なものではありません（KVM (Kernel-based Virtual Machine)など）。
KVM環境では、仮想マシン内のプロセスはホストカーネルと直接通信しません。彼らは/sysと/sys/fs,/proc/*のようなカーネルファイルシステムにアクセスすることはできません。