网站便捷导航 - 百度XML地图 - RSS 订阅 - 设为首页 - 加入收藏
您的当前位置:主页 > 婴儿奶粉 > 配方奶粉 > Docker1.10旨在支持容器安全

Docker1.10旨在支持容器安全

来源:太平洋游戏网 编辑:落锦鲤 时间:2019-09-02 点击:5444

开源Docker容器引擎技术本周将成为一次重大提升。Docker1.10于2月4日发布的预期版本包括新功能和对安全性的强烈关注,特别是安全计算(或seccomp)和用户命名空间技术的集成。

Seccomp是一种集成的技术进入Linux内核的主线,提供精细的安全控制。Docker引擎运行在Linux之上,而对于Docker1.10,现在有一个默认的seccomp配置文件,可以让用户从额外的安全性中受益。

RedHat的Linux容器传播者ScottMcCarty说seccomp是一种限制应用程序行为的强大方法。他解释说,应用程序和进程(如容器)与Linux内核通信,以便通过一组称为系统调用的特殊函数来完成工作,例如打开文件。在正常操作中,如果没有使用seccomp,应用程序可以尝试运行Linux内核支持的任何系统调用,然后用户可以使用他们想要的任何参数继续尝试任何功能集,直到他们可能找到漏洞。

“使用seccomp,管理员可以限制应用程序允许的系统调用,类似于防火墙如何限制使用哪些端口,”McCarty告诉eWEEK。“这允许管理员分析应用程序并仅允许它可以做它应该做的事情。“

进一步阅读Brinqa如何为网络风险带来可行的见解......Splunk与LogRhythm:SIEM正面交流

使用Docker1.10,现在有了默认的seccomp配置文件,有助于提高容器正在运行的进程的安全性。

“然而,seccomp向前发展的主要挑战是知道应用程序应该或将需要哪个系统调用,系统管理员留给通过运行应用程序来解决这个问题,“McCarty补充道。

Seccomp现在加入了其他多种可以帮助保护Docker容器的Linux安全技术,包括SELinux(安全增强型Linux)。拥有多个安全工具有助于创建和支持分层方法来保护和保护容器活动。

SELinux是您可以与之交谈的人员列表,而seccomp是您可以说出的单词列表,McCarty说。例如,如果一个人只使用三到五个字就可以与另一个人进行交流,那么它将极大地限制可以表达的内容并阻止大多数类型的非法活动,并且以与Linux容器大致相同的方式应用,他补充道。

“SELinux限制内核中不同数据结构的交互,例如文件,进程,端口,允许用户标记哪些对象可以相互交互,但这些对象可以自由交互,”McCarty解释说。“使用seccomp,管理员可以完全限制哪些交互可能。”

可能在Docker1.10版本中首次亮相的另一种安全技术是对用户命名空间的完全支持。自2015年11月以来,用户命名空间支持一直在Docker的技术预览中,作为容器控制和可见性的另一种方法。

在首次公布用户Docker命名空间支持时,eWEEK的采访中,安全总监NathanMcCauley在Docker,他解释说,使用用户命名空间,可以对在Docker上运行的各个应用程序和进程有更多的可见性和控制。

文章链接地址:http://www.playing4.com/yingernaifen/peifangnaifen/201909/5287.html

上一篇:喀布尔的诅咒
下一篇:没有了
精心推荐

Copyright © 2019 宝祥彩票平台 Inc.

Top