如何锁定容器的Linux内核
|
从本处开始只会越来越困难。除了确保容器是安全的以外,由于所有容器都运行在单个Linux内核上,因此确保该内核尽可能安全是有意义的。而且,推荐使用AppArmor或SELinux进行安全配置,保护内核。 但是,这些复杂的配置限制了用户控制,程序管理,文件访问和系统维护。他们将其作为Linux安全模块来执行,该模块在Linux上强加了强制性访问控制(MAC)体系结构。对于Linux的内置安全模型(除非明确禁止,否则允许一切),这是一种完全不同的安全方法(除非明确允许,否则限制一切)。 很多系统管理员都无法正确设置两者。更糟糕的是,如果您配置错误,那这就不仅仅是一个重新配置的过程。如果您配置不对,您的Linux系统将被冻结,而您将不得不重新进行调整。或者,您可能认为它的配置是正确的,但是实际上您的容器可能仍然会像以前一样受到攻击。 正确以及安全的配置需要操作人员的大量时间和专业知识。在AppArmor或SELinux保护的内核上运行应用程序可能会遇到困难。大多程序对底层操作系统采取了安全措施。这些受保护的内核不允许这样做。 如果这两种方法中的任何一种被证明是太麻烦了,那么您可以通过阻止内核自动加载内核模块来获得一些保护。例如,由于即使是非特权进程也可以强制加载一些与网络协议相关的内核模块,只需创建一个特定的网络套接字,就可以添加规则来阻止有问题的模块。您可以使用禁止的模块配置文件来执行此操作:
文件中记得加入配置说明,例如: #SCTP在大多数Kubernetes集群中不使用,并且也有漏洞。
不过,最好的方法还是安装AppArmor或SELinux。 (编辑:泉州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
