Доцкер је једна од најчешће коришћених платформи за контејнеризацију и веома је омиљен међу софтверским инжењерима. Долази са моћним ЦЛИ алатом за управљање Доцкер контејнерима и другим сродним задацима.
Подразумевано су вам потребне роот привилегије да бисте покренули било које команде везане за Доцкер на Линук-у. Наравно, ово можете променити ради погодности и покренути Доцкер команде без роот привилегија, али треба да будете свесни безбедносних импликација.
Шта је Доцкер Аттацк Сурфаце?
Површина напада је број тачака напада, више као број прозора, које злонамерни корисник може користити да уђе у ваш систем и изазове хаос. По правилу, ИТ системи треба да имају минималне површине напада да би се смањили безбедносни ризици.
Генерално, Доцкер-ова површина напада је веома минимална. Контејнери раде у безбедном изолованом окружењу и не утичу на оперативни систем домаћина осим ако није другачије. Поред тога, Доцкер контејнери покрећу само минималне услуге што их чини сигурнијим.
Можете да конфигуришете свој Линук систем да контролише Доцкер без судо привилегија. Ово може бити згодно у развојним окружењима, али може бити озбиљна безбедносна рањивост у производним системима. А ево зашто никада не би требало да покрећете Доцкер без судо.
1. Могућност контроле Доцкер контејнера
Без судо привилегија, свако ко има приступ вашем систему или серверу може да контролише сваки аспект Доцкер-а. Они имају приступ вашим Доцкер датотекама евиденције и могу зауставити и обрисати контејнере по жељи или случајно. Такође можете изгубити критичне податке који су од виталног значаја за континуитет пословања.
Ако користите Доцкер контејнере у производним окружењима, застоји резултирају губитком пословања и поверења.
2. Добијте контролу над директоријумима ОС хоста
Доцкер Волумес је моћна услуга која вам омогућава да делите и истражујете податке контејнера тако што ћете их уписати у наведену фасциклу на ОС хосту.
Једна од највећих претњи коју представља покретање Доцкер-а без судо-а је да свако на вашем систему може да добије контролу над директоријумима ОС-а домаћина, укључујући и основни директоријум.
Све што треба да урадите је да покренете Линук Доцкер слику, на пример, Убунту слику, и монтирате је у основну фасциклу помоћу следеће команде:
доцкер рун -ти -в /:/хостпроот убунту басхА пошто Линук Доцкер контејнери раде као роот корисник, то у суштини значи да имате приступ целој основној фасцикли.
Горе поменута команда ће преузети и покренути најновију Убунту слику и монтирати је у основни директоријум.
На терминалу Доцкер контејнера идите на /hostproot именик користећи наредбу цд:
цд /hostprootНавођење садржаја овог директоријума помоћу команде лс приказује све датотеке главног ОС-а које су сада доступне у вашем контејнеру. Сада можете да манипулишете датотекама, прегледате тајне датотеке, сакривате и поништавате сакривање датотека, мењате дозволе итд.
3. Инсталирајте злонамерни софтвер
Добро израђена Доцкер слика може да ради у позадини и да манипулише вашим системом или да прикупља осетљиве податке. Што је још горе, злонамерни корисник може ширити злонамерни код на вашој мрежи преко Доцкер контејнера.
Постоје неколико практичних случајева употребе Доцкер контејнера, а са сваком апликацијом долази другачији скуп безбедносних претњи.
Обезбедите своје Доцкер контејнере на Линук-у
Доцкер је моћна и сигурна платформа. Покретање Доцкер-а без судо-а повећава површину вашег напада и чини ваш систем рањивим. У производним окружењима, топло се препоручује да користите судо са Доцкер-ом.
Са толико корисника на систему, постаје изузетно тешко доделити дозволе сваком кориснику. У таквим случајевима, праћење најбољих пракси контроле приступа може вам помоћи да одржите безбедност вашег система.
