Docker服務端防護

運作一個容器或應用程式的核心是通過 Docker 服務端。Docker 服務的運作目前需要 root 權限，是以其安全性十分關鍵。

首先，確定隻有可信的使用者才可以通路 Docker 服務。Docker 允許使用者在主機和容器間共享檔案夾，同時不需要限制容器的通路權限，這就容易讓容器突破資源限制。例如，惡意使用者啟動容器的時候将主機的根目錄/映射到容器的 /host 目錄中，那麼容器理論上就可以對主機的檔案系統進行任意修改了。這聽起來很瘋狂？但是事實上幾乎所有虛拟化系統都允許類似的資源共享，而沒法禁止使用者共享主機根檔案系統到虛拟機系統。

這将會造成很嚴重的安全後果。是以，當提供容器建立服務時（例如通過一個 web 伺服器），要更加注意進行參數的安全檢查，防止惡意的使用者用特定參數來建立一些破壞性的容器

為了加強對服務端的保護，Docker 的 REST API（用戶端用來跟服務端通信）在 0.5.2 之後使用本地的 Unix 套接字機制替代了原先綁定在 127.0.0.1 上的 TCP 套接字，因為後者容易遭受跨站腳本攻擊。現在使用者使用 Unix 權限檢查來加強套接字的通路安全。

使用者仍可以利用 HTTP 提供 REST API 通路。建議使用安全機制，確定隻有可信的網絡或 VPN，或證書保護機制（例如受保護的 stunnel 和 ssl 認證）下的通路可以進行。此外，還可以使用 HTTPS 和證書來加強保護。

最近改進的 Linux 名字空間機制将可以實作使用非 root 使用者來運作全功能的容器。這将從根本上解決了容器和主機之間共享檔案系統而引起的安全問題。

終極目标是改進 2 個重要的安全特性：

将容器的 root 使用者映射到本地主機上的非 root 使用者，減輕容器和主機之間因權限提升而引起的安全問題；

允許 Docker 服務端在非 root 權限下運作，利用安全可靠的子程序來代理執行需要特權權限的操作。這些子程序将隻允許在限定範圍内進行操作，例如僅僅負責虛拟網絡設定或檔案系統管理、配置操作等。

最後，建議采用專用的伺服器來運作 Docker 和相關的管理服務（例如管理服務比如 ssh 監控和程序監控、管理工具 nrpe、collectd 等）。其它的業務服務都放到容器中去運作。