Docker daemon Attack Səthi və ya səhv: "Docker daemon yuvasına qoşulmaq istəyərkən icazə alınmadı ..."

Bu görüntünün mənbəyi: Shutterstock

Təhlükəsizlik baxımından Docker ilə konteynerlərin və tətbiqlərin işlədilməsinin Docker demonunun işləməsini nəzərdə tutduğunu bilməyiniz çox vacibdir. Bunun fərqində olmaq çox vacibdir. Kökəsiz rejim hələ də eksperimentaldır.

Yeni versiyalarda, "kök" sahibi olan UNIX soketindən istifadə olunur və digər istifadəçilər yalnız "sudo" istifadə edərək əldə edə bilərlər, Docker daemon bir TCP portu əvəzinə bir yuvaya bağlanır, eyni zamanda həmişə " kök ”istifadəçisi.

"Docker" -i "sudo" ilə işə salmaq istəyirsinizsə, "doker" adlı bir qrup yaradın və istifadəçilər əlavə edin, docker daemon işə başladıqda "docker" qrupunun üzvləri üçün əlçatan bir yuva yaradır.

"Docker" qrupu "kök" istifadəçisinə bərabər olan imtiyazlar verir.

Docker daeminizi idarə etmək üçün yalnız etibarlı istifadəçilərə icazə verilməməsi tövsiyə olunur. Bu, bəzi güclü Docker xüsusiyyətlərinin nəticəsidir. Xüsusi olaraq Docker, Docker sahibi ilə qonaq konteyneri arasında konteynerin giriş hüquqlarını məhdudlaşdırmadan bir qovluğu bölüşməyə imkan verir. Demək, host hostunuzun / qovluq qovluğunun olduğu bir konteynerə başlaya bilərsiniz. Sonra konteyner, host fayl sisteminizi heç bir məhdudiyyət olmadan dəyişdirə bilər. Bu, hipervisor sistemlərinin fayl sistemi bölüşdürülməsinə necə icazə verdiyinə bənzəyir.

Bu, böyük bir təhlükəsizlik nəticəsi ola bilər, məsələn bir web serverdən Docker alətinizi bir API vasitəsi ilə konteynerlər təmin edərsə, zərərli istifadəçinin Docker'a səbəb olan hazırlanmış parametrləri keçə bilməyəcəyinə əmin olmaq üçün parametr yoxlanılması ilə adi haldan daha diqqətli olmalısınız. ixtiyari qablar yaratmaq. Docker, müəyyən bir CLI əlaqəsini UNIX soketinə dəyişdirdi, bunun əvəzinə 127.0.0.1-də bağlanmış TCP yuvası bu imtiyazın artmasına səbəb ola bilər.

API uc nöqtələrini HTTPS və sertifikatlarla təmin etmək məcburidir, yerli etibarlı şəbəkə və ya VPN-yə xüsusi icazə vermək tövsiyə olunur.

Linux nüvəsinin imkanları haqqında ayrı bir məqalədə daha ətraflı yazacağam.

Bu yazıda istifadə olunan mənbə: https://docs.docker.com/engine/security/security/#docker-daemon-attack-surface