Docker on üks enimkasutatavaid konteinerplatvorme ja on tarkvarainseneride seas väga armastatud. Kaasas võimas CLI tööriist Dockeri konteinerite ja muude seotud ülesannete haldamiseks.
Vaikimisi vajate Linuxis Dockeriga seotud käskude käitamiseks juurõigusi. Muidugi saate seda mugavuse huvides muuta ja käivitada Dockeri käske ilma juurõigusteta, kuid peaksite olema teadlik turvamõjudest.
Mis on Dockeri ründepind?
Ründepind on ründepunktide arv, rohkem nagu akende arv, mida pahatahtlik kasutaja saab kasutada teie süsteemi sisenemiseks ja kaose tekitamiseks. Rusikareeglina peaks IT-süsteemidel olema minimaalsed ründepinnad, et vähendada turvariske.
Üldiselt on Dockeri rünnakupind väga minimaalne. Konteinerid töötavad turvalises isoleeritud keskkonnas ega mõjuta hosti operatsioonisüsteemi, kui ei ole teisiti. Lisaks käitavad Dockeri konteinerid ainult minimaalseid teenuseid, mis muudab selle turvalisemaks.
Saate konfigureerida oma Linuxi süsteemi Dockeri juhtimiseks ilma sudo-õigusteta. See võib olla mugav arenduskeskkondades, kuid võib olla tõsine turvanõrk tootmissüsteemides. Ja siin on põhjus, miks te ei tohiks kunagi Dockerit ilma sudota käivitada.
1. Võimalus juhtida Dockeri konteinereid
Ilma sudo-õigusteta saavad kõik, kellel on juurdepääs teie süsteemile või serverile, juhtida Dockeri kõiki aspekte. Neil on juurdepääs teie Dockeri logifailidele ning nad saavad konteinereid peatada ja kustutada soovi korral või kogemata. Samuti võite kaotada olulised andmed, mis on äritegevuse järjepidevuse jaoks üliolulised.
Kui kasutate Dockeri konteinereid tootmiskeskkondades, põhjustab seisakuid äritegevuse ja usalduse kaotuse.
2. Saate juhtida host OS-i katalooge
Docker Volumes on võimas teenus, mis võimaldab teil konteineri andmeid jagada ja säilitada, kirjutades need host OS-i määratud kausta.
Üks suurimaid ohte, mida Dockeri käivitamine ilma sudota kujutab, on see, et kõik teie süsteemis olevad kasutajad saavad host OS-i katalooge, sealhulgas juurkataloogi, kontrolli alla saada.
Kõik, mida pead tegema, on käivitada Linux Dockeri pilt, näiteks Ubuntu pilt, ja paigaldada see juurkausta, kasutades järgmist käsku:
docker run -ti -v /:/hostproot ubuntu bashJa kuna Linux Dockeri konteinerid töötavad juurkasutajana, tähendab see sisuliselt, et teil on juurdepääs kogu juurkaustale.
Eespool nimetatud käsk laadib alla ja käivitab uusima Ubuntu pildi ning ühendab selle juurkataloogi.
Minge Dockeri konteinerterminalis lehele /hostproot kataloogi kasutades cd käsk:
cd /hostprootSelle kataloogi sisu loetlemine käsu ls abil näitab kõiki host OS-i faile, mis on nüüd teie konteineris saadaval. Nüüd saate failidega manipuleerida, salafaile vaadata, faile peita ja peita tühistada, õigusi muuta jne.
3. Installige ründetarkvara
Hästi koostatud Dockeri pilt võib töötada taustal ja manipuleerida teie süsteemiga või koguda tundlikke andmeid. Mis veelgi hullem, pahatahtlik kasutaja võib Dockeri konteinerite kaudu teie võrgus pahatahtlikku koodi levitada.
Seal on mitu Dockeri konteinerite praktilist kasutusjuhtuja iga rakendusega kaasneb erinev turvaohtude komplekt.
Kaitske oma Dockeri konteinerid Linuxis
Docker on võimas ja turvaline platvorm. Dockeri käivitamine ilma sudota suurendab teie rünnakupinda ja muudab teie süsteemi haavatavaks. Tootmiskeskkondades on väga soovitatav Dockeriga kasutada sudo.
Kuna süsteemis on nii palju kasutajaid, muutub igale kasutajale õiguste määramine äärmiselt raskeks. Sellistel juhtudel võib juurdepääsukontrolli parimate tavade järgimine aidata teil oma süsteemi turvalisust säilitada.