日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
不應(yīng)該在沒有sudo的情況下運(yùn)行Docker的三個(gè)原因

Docker 是開發(fā)人員的安全容器化平臺(tái)。既然它如此安全,為什么不能在沒有超級(jí)用戶權(quán)限的情況下運(yùn)行它?

Docker 是最常用的容器化平臺(tái)之一,深受軟件工程師的喜愛。它帶有一個(gè)強(qiáng)大的 CLI 工具,用于管理 Docker 容器和其他相關(guān)任務(wù)。

默認(rèn)情況下,您需要 root 權(quán)限才能在 Linux 上運(yùn)行任何與 Docker 相關(guān)的命令。當(dāng)然,為了方便起見,您可以更改此設(shè)置并在沒有 root 權(quán)限的情況下運(yùn)行 Docker 命令,但您應(yīng)該注意安全隱患。

什么是 Docker 攻擊面?

攻擊面是惡意用戶可以用來進(jìn)入系統(tǒng)并造成嚴(yán)重破壞的攻擊點(diǎn)數(shù)量,更像是窗口數(shù)量。根據(jù)經(jīng)驗(yàn),IT 系統(tǒng)應(yīng)具有最小的攻擊面,以降低安全風(fēng)險(xiǎn)。

一般來說,Docker 的攻擊面非常小。容器在安全的隔離環(huán)境中運(yùn)行,除非另有規(guī)定,否則不會(huì)影響主機(jī)操作系統(tǒng)。此外,Docker 容器只運(yùn)行最少的服務(wù),這使得它更安全。

您可以將 Linux 系統(tǒng)配置為在沒有 sudo 權(quán)限的情況下控制 Docker。這在開發(fā)環(huán)境中可能很方便,但在生產(chǎn)系統(tǒng)中可能是一個(gè)嚴(yán)重的安全漏洞。這就是為什么你永遠(yuǎn)不應(yīng)該在沒有 sudo 的情況下運(yùn)行 Docker。

1. 能夠控制 Docker 容器

如果沒有 sudo 權(quán)限,任何有權(quán)訪問您的系統(tǒng)或服務(wù)器的人都可以控制 Docker 的各個(gè)方面。他們有權(quán)訪問您的 Docker 日志文件,并且可以隨意或意外地停止和刪除容器。您還可能丟失對(duì)業(yè)務(wù)連續(xù)性至關(guān)重要的關(guān)鍵數(shù)據(jù)。

如果在生產(chǎn)環(huán)境中使用 Docker 容器,停機(jī)會(huì)導(dǎo)致業(yè)務(wù)和信任損失。

2. 獲得對(duì)主機(jī)操作系統(tǒng)目錄的控制

Docker 卷是一項(xiàng)功能強(qiáng)大的服務(wù),允許您通過將容器數(shù)據(jù)寫入主機(jī)操作系統(tǒng)上的指定文件夾來共享和保留容器數(shù)據(jù)。

在沒有 sudo 的情況下運(yùn)行 Docker 帶來的最大威脅之一是系統(tǒng)上的任何人都可以控制主機(jī)操作系統(tǒng)的目錄,包括根目錄。

您所要做的就是運(yùn)行 Linux Docker 映像,例如 Ubuntu 映像,并使用以下命令將其掛載到根文件夾上:

root@linuxmi:/home/linuxmi/www.linuxmi.com# docker run -ti -v /:/hostproot ubuntu bash

輸出如下:

Unable to find image 'ubuntu:latest' locally
latest: Pulling from library/ubuntu
6e3729cf69e0: Pull complete 
Digest: sha256:27cb6e6ccef575a4698b66f5de06c7ecd61589132d5a91d098f7f3f9285415a9
Status: Downloaded newer image for ubuntu:latest

由于 Linux Docker 容器以 root 用戶身份運(yùn)行,因此本質(zhì)上意味著您可以訪問整個(gè)根文件夾。

上述命令將下載并運(yùn)行最新的 Ubuntu 映像并將其掛載到根目錄上。

在 Docker 容器終端上,使用 cd 命令轉(zhuǎn)到 /hostproot 目錄:

root@c977c6de6265:/# cd /hostproot

使用 ls 命令列出此目錄的內(nèi)容將顯示容器中現(xiàn)在可用的主機(jī)操作系統(tǒng)的所有文件?,F(xiàn)在,您可以操作文件,查看機(jī)密文件,隱藏和取消隱藏文件,更改權(quán)限等。

3. 安裝惡意軟件

精心制作的 Docker 映像可以在后臺(tái)運(yùn)行并操作系統(tǒng)或收集敏感數(shù)據(jù)。更糟糕的是,惡意用戶可能會(huì)通過 Docker 容器在您的網(wǎng)絡(luò)上傳播惡意代碼。

Docker 容器有幾個(gè)實(shí)際用例,每個(gè)應(yīng)用程序都會(huì)帶來一組不同的安全威脅。

在 Linux 上保護(hù)您的 Docker 容器

Docker是一個(gè)強(qiáng)大而安全的平臺(tái)。在沒有 sudo 的情況下運(yùn)行 Docker 會(huì)增加您的攻擊面并使您的系統(tǒng)容易受到攻擊。在生產(chǎn)環(huán)境中,強(qiáng)烈建議您將 sudo 與 Docker 一起使用。

由于系統(tǒng)上有如此多的用戶,因此很難為每個(gè)用戶分配權(quán)限。在這種情況下,遵循最佳訪問控制實(shí)踐可以幫助您維護(hù)系統(tǒng)的安全性。


分享文章:不應(yīng)該在沒有sudo的情況下運(yùn)行Docker的三個(gè)原因
鏈接地址:http://m.5511xx.com/article/coiddoj.html