Docker je jednou z najpoužívanejších kontajnerových platforiem a je medzi softvérovými inžiniermi veľmi obľúbená. Dodáva sa s výkonným nástrojom CLI na správu kontajnerov Docker a ďalších súvisiacich úloh.
V predvolenom nastavení potrebujete oprávnenia root na spustenie akýchkoľvek príkazov súvisiacich s Dockerom v systéme Linux. Samozrejme, môžete to zmeniť pre pohodlie a spúšťať príkazy Docker bez oprávnení root, ale mali by ste si byť vedomí dôsledkov zabezpečenia.
Čo je útočná plocha Dockera?
Plocha útoku je počet bodov útoku, skôr počet okien, ktoré môže používateľ so zlými úmyslami použiť na získanie vstupu do vášho systému a spôsobiť zmätok. Spravidla by IT systémy mali mať minimálne útočné plochy, aby sa znížili bezpečnostné riziká.
Vo všeobecnosti je útočná plocha Dockera veľmi minimálna. Kontajnery bežia v zabezpečenom izolovanom prostredí a neovplyvňujú hostiteľský operačný systém, pokiaľ nie je inak. Okrem toho kontajnery Docker prevádzkujú iba minimálne služby, vďaka čomu sú bezpečnejšie.
Svoj systém Linux môžete nakonfigurovať tak, aby ovládal Docker bez privilégií sudo. To môže byť výhodné vo vývojových prostrediach, ale môže to byť vážna bezpečnostná chyba v produkčných systémoch. A tu je dôvod, prečo by ste nikdy nemali spúšťať Docker bez sudo.
1. Schopnosť ovládať kontajnery Docker
Bez privilégií sudo môže každý, kto má prístup k vášmu systému alebo serveru, ovládať každý aspekt Dockera. Majú prístup k vašim súborom denníka Docker a môžu zastaviť a odstrániť kontajnery podľa vlastného uváženia alebo náhodne. Môžete tiež prísť o kritické údaje, ktoré sú životne dôležité pre kontinuitu podnikania.
Ak používate kontajnery Docker v produkčnom prostredí, výpadky vedú k strate podnikania a dôvery.
2. Získajte kontrolu nad adresármi hostiteľského OS
Docker Volumes je výkonná služba, ktorá vám umožňuje zdieľať a uchovávať údaje kontajnera ich zápisom do určeného priečinka v hostiteľskom OS.
Jednou z najväčších hrozieb, ktoré spustenie Dockera bez sudo predstavuje, je, že ktokoľvek vo vašom systéme môže získať kontrolu nad adresármi hostiteľského OS vrátane koreňového adresára.
Všetko, čo musíte urobiť, je spustiť obraz Linux Docker, napríklad obraz Ubuntu, a pripojiť ho do koreňového priečinka pomocou nasledujúceho príkazu:
docker spustiť -ti -v /:/hostproot ubuntu bashA keďže kontajnery Linux Docker bežia ako užívateľ root, v podstate to znamená, že máte prístup k celému koreňovému priečinku.
Vyššie uvedený príkaz stiahne a spustí najnovší obraz Ubuntu a pripojí ho do koreňového adresára.
Na kontajnerovom termináli Docker prejdite na /hostproot pomocou adresára príkaz cd:
cd /hostprootVýpis obsahu tohto adresára pomocou príkazu ls zobrazuje všetky súbory hostiteľského OS, ktoré sú teraz dostupné vo vašom kontajneri. Teraz môžete manipulovať so súbormi, prezerať tajné súbory, skrývať a odkrývať súbory, meniť povolenia atď.
3. Nainštalujte škodlivý softvér
Dobre vytvorený obrázok Docker môže bežať na pozadí a manipulovať s vaším systémom alebo zhromažďovať citlivé údaje. Ešte horšie je, že používateľ so zlými úmyslami by mohol vo vašej sieti šíriť škodlivý kód prostredníctvom kontajnerov Docker.
Existujú niekoľko praktických prípadov použitia kontajnerov Dockera s každou aplikáciou prichádza iná skupina bezpečnostných hrozieb.
Zabezpečte svoje kontajnery Docker v systéme Linux
Docker je výkonná a bezpečná platforma. Spustenie Dockera bez sudo zvyšuje vašu útočnú plochu a robí váš systém zraniteľným. V produkčnom prostredí sa dôrazne odporúča používať sudo s Dockerom.
S toľkými používateľmi v systéme je mimoriadne ťažké prideliť povolenia každému používateľovi. V takýchto prípadoch vám dodržiavanie najlepších postupov riadenia prístupu môže pomôcť udržať bezpečnosť vášho systému.
