Docker on yksi käytetyimmistä konttialustoista, ja se on erittäin rakastettu ohjelmistosuunnittelijoiden keskuudessa. Sen mukana tulee tehokas CLI-työkalu Docker-säilöjen ja muiden asiaan liittyvien tehtävien hallintaan.
Oletuksena tarvitset pääkäyttäjän oikeudet suorittaaksesi Dockeriin liittyviä komentoja Linuxissa. Voit tietysti muuttaa tätä mukavuuden vuoksi ja suorittaa Docker-komentoja ilman pääkäyttäjän oikeuksia, mutta sinun tulee olla tietoinen tietoturvavaikutuksista.
Mikä on Dockerin hyökkäyspinta?
Hyökkäyspinta on hyökkäyspisteiden määrä, enemmän kuin ikkunoiden lukumäärä, joita pahantahtoinen käyttäjä voi käyttää päästäkseen järjestelmääsi ja aiheuttaakseen tuhoa. Nyrkkisääntönä on, että IT-järjestelmissä tulee olla mahdollisimman vähän hyökkäyspintoja tietoturvariskien vähentämiseksi.
Yleensä Dockerin hyökkäyspinta on hyvin minimaalinen. Säilöt toimivat suojatussa eristetyssä ympäristössä eivätkä vaikuta isäntäkäyttöjärjestelmään, ellei toisin ole. Lisäksi Docker-säiliöt tarjoavat vain vähän palveluita, mikä tekee siitä turvallisemman.
Voit määrittää Linux-järjestelmäsi ohjaamaan Dockeria ilman sudo-oikeuksia. Tämä voi olla kätevää kehitysympäristöissä, mutta se voi olla vakava tietoturvahaavoittuvuus tuotantojärjestelmissä. Ja tästä syystä sinun ei pitäisi koskaan käyttää Dockeria ilman sudoa.
1. Kyky hallita Docker-säiliöitä
Ilman sudo-oikeuksia kuka tahansa, jolla on pääsy järjestelmääsi tai palvelimeesi, voi hallita kaikkia Dockerin osa-alueita. Heillä on pääsy Docker-lokitiedostoihisi ja he voivat pysäyttää ja poistaa säilöjä halutessaan tai vahingossa. Saatat myös menettää tärkeitä tietoja, jotka ovat elintärkeitä liiketoiminnan jatkuvuuden kannalta.
Jos käytät Docker-säiliöitä tuotantoympäristöissä, seisokit johtavat liiketoiminnan ja luottamuksen menettämiseen.
2. Hallitse isäntäkäyttöjärjestelmän hakemistoja
Docker Volumes on tehokas palvelu, jonka avulla voit jakaa ja säilyttää säilötietoja kirjoittamalla ne määritettyyn kansioon isäntäkäyttöjärjestelmässä.
Yksi suurimmista uhkista, jonka Dockerin käyttäminen ilman sudoa aiheuttaa, on se, että kuka tahansa järjestelmässäsi voi hallita isäntäkäyttöjärjestelmän hakemistoja, mukaan lukien juurihakemisto.
Sinun tarvitsee vain ajaa Linux Docker -kuva, esimerkiksi Ubuntu-kuva, ja liittää se juurikansioon seuraavalla komennolla:
docker run -ti -v /:/hostproot ubuntu bashJa koska Linux Docker -säilöt toimivat pääkäyttäjänä, se tarkoittaa käytännössä, että sinulla on pääsy koko pääkansioon.
Edellä mainittu komento lataa ja suorittaa uusimman Ubuntu-otoksen ja asentaa sen juurihakemistoon.
Siirry Dockerin konttiterminaaliin kohtaan /hostproot hakemistoa käyttämällä cd-komento:
CD /hostprootListaa tämän hakemiston sisältö ls-komennolla näyttää kaikki isäntäkäyttöjärjestelmän tiedostot, jotka ovat nyt saatavilla säilössäsi. Nyt voit käsitellä tiedostoja, tarkastella salaisia tiedostoja, piilottaa ja poistaa tiedostoja, muuttaa käyttöoikeuksia jne.
3. Asenna haittaohjelmat
Hyvin muotoiltu Docker-kuva voi toimia taustalla ja käsitellä järjestelmääsi tai kerätä arkaluonteisia tietoja. Vielä pahempaa on, että haitallinen käyttäjä voi levittää haitallista koodia verkossasi Docker-säilöjen kautta.
On useita käytännöllisiä Docker-konttien käyttötapauksia, ja jokaisen sovelluksen mukana tulee erilaisia tietoturvauhkia.
Suojaa Docker-konttisi Linuxissa
Docker on tehokas ja turvallinen alusta. Dockerin käyttäminen ilman sudoa lisää hyökkäyspintaa ja tekee järjestelmästäsi haavoittuvan. Tuotantoympäristöissä on erittäin suositeltavaa käyttää sudoa Dockerin kanssa.
Kun järjestelmässä on niin paljon käyttäjiä, on erittäin vaikea antaa käyttöoikeuksia jokaiselle käyttäjälle. Tällaisissa tapauksissa parhaiden kulunvalvontakäytäntöjen noudattaminen voi auttaa ylläpitämään järjestelmäsi turvallisuutta.
