通联ipaypos机售后客服
近期支付行业环境大变动,
还在用早期产品的顾客,
赶紧找下方的客服咨询换机/增机器吧。
除了应用本身的脆弱性引入的攻击外,服务层集群、容器运行时本身的脆弱性问题也不容忽视。例如攻击者借助K8S的8080、6443未授权访问,可通过容器访问K8S master api进行恶意调用;参与到容器生态中的服务端、客户端程序自身存在的漏洞如runc、Containerd组件漏洞,同样可被攻击者恶意利用,使得容器内的用户获取到宿主机的控制权。
此外,从系统层面来看,Docker直接共享宿主机的内核,所以当宿主机内核存在安全漏洞时会一并影响Docker的安全,导致Docker容器逃逸漏洞。例如著名的脏牛漏洞CVE-2016-5195是Linux内核中的权限提升漏洞,通过它可实现容器逃逸,获得root权限的shell。
4、解决容器逃逸的方案
4.1 Docker自身安全性改进
容器发展早期,容器内的root等同于宿主机上的root,若容器被攻破或容器本身存在恶意程序时,在容器内就可以获取到宿主机的root权限。Docker 1.10版本,引入User Namespace技术进行用户隔离,可将容器内的root用户映射到宿主机上的非root用户,大大减轻了容器逃逸的风险。容器社区持续在努力将纵深防御、最小权限等理念和原则落地,因此建议尽可能使用最新版Docker。且使用最新版本Docker,已知的CVE漏洞都已修复,如更新Docker版本到19.03.1及更高版本,不再受CVE-2019-14271、CVE-2019-5736等漏洞影响。
4.2 安全配置及挂载
应用层大多容器相关漏洞,均由不安全配置或挂载引入。无论是细粒度权限控制还是其他安全机制,用户都可以通过修改容器环境配置或在运行容器时指定参数来调整。建议Docker容器或K8S pod启动时,做到:
(1)不以root权限运行Docker服务;
(2)不将宿主机敏感目录挂载至容器目录;
(3)不开启特权模式,如需添加相应的权限可单独添加;
(4)不赋予容器SYSADMIN、DAC_READ_SEARCH、SYS_MODULE、SYS_PTRACE等权限。
4.3 加强内核安全管理
Docker共享宿主机内核,内核安全漏洞会直接影响Docker安全,因此尽量安装最新补丁的主机内核版本,如Linux内核版本>=2.6.22解决了CVE-2016-5195(脏牛),Linux内核版本>=4.14解决了CVE-2017–1000405(大脏牛)。
留言评论
暂无留言