高明网站建设首选公司,教学信息化大赛网站建设作品,wordpress怎么登入,互联网行业数据分析容器的出现使开发团队可以创建沙盒环境#xff0c;以在其中运行和测试应用程序#xff0c;容器主要由从 docker hub 或其他公共镜像存储库提取的开源镜像组成。但是这些开源镜像有时可能包含一些漏洞#xff0c;这些漏洞可能会危害容器的安全#xff0c;进而危害其主机/服务…容器的出现使开发团队可以创建沙盒环境以在其中运行和测试应用程序容器主要由从 docker hub 或其他公共镜像存储库提取的开源镜像组成。但是这些开源镜像有时可能包含一些漏洞这些漏洞可能会危害容器的安全进而危害其主机/服务器。由于这些容器在主机上运行因此如果容器不受保护就可以劫持生产中的容器。此类攻击的一个很好的例子是特斯拉对未受保护的 Kubernetes 集群的加密劫持攻击。在此攻击中攻击者能够使用特斯拉的 K8s(Kubernetes)集群提供的 GPU 下载并运行恶意脚本来挖掘加密货币。通过将 CPU 使用率保持在最低水平并且还可以在特定的时间间隔运行脚本导致监控很难发现这个问题。下面我们将研究常见的容器漏洞以及修复它们的可能方法。容器漏洞加密劫持加密劫持是一种攻击其中恶意脚本被用来窃取设备的计算资源以挖掘加密货币。最近在 Docker 上发现了 CVE-2018-15664 的漏洞。 此漏洞使攻击者有可能获得对主机计算机的 root 访问权限。攻击者除了能够使用主机计算机的 CPU 和 GPU 资源来挖掘加密货币之外还可以窃取敏感凭据进行 DoS 攻击发起网络钓鱼活动等等。如果容器包含恶意镜像这些容器会给攻击者提供对整个容器的根访问权限则它们可能容易受到密码劫持的攻击。 如果 Docker API 暴露在公网上例如 Tesla它们很容易受到攻击。恶意开源镜像该漏洞可以覆盖主机的 runc 二进制文件从而使攻击者可以通过 root 用户访问权限来执行命令。 v18.09.2 之前的Docker 引擎使带有攻击者控制镜像的容器容易受到 CVE-2019-5736 漏洞的影响。建议工程师尽可能利用 docker 提供的官方 Docker 镜像。 毕竟甚至还有一个由 Docker 赞助的团队该团队与软件维护者/发布者和安全专家紧密合作以确保官方 Docker 镜像的安全性。静态 Dockerfile容器的镜像是不可变的。 这意味着在构建镜像时其内容不可更改。 由于镜像中包含的过时程序包/库/镜像也会导致漏洞因此将漏洞扫描程序合并到 CI/CD 流程中是一个好主意以便识别易受攻击的容器镜像。 由于镜像是不可变的因此建议经常更新程序包、库、镜像如何查找容器漏洞前面我们说了利用漏洞如何攻击容器的可能方式。下面研究下如何找出容器中可能包含的漏洞使用 Docker Bench for SecurityDocker Bench for Security 是一个脚本用于测试主机/服务器上的所有 Docker 容器检查关于在生产环境中部署Docker 容器的几十个常见最佳实践这些测试基于 CIS docker 基准。如何运行docker run -it --net host --pid host --userns host --cap-add audit_control -e DOCKER_CONTENT_TRUST$DOCKER_CONTENT_TRUST -v /etc:/etc:ro -v /usr/bin/docker-containerd:/usr/bin/docker-containerd:ro -v /usr/bin/docker-runc:/usr/bin/docker-runc:ro -v /usr/lib/systemd:/usr/lib/systemd:ro -v /var/lib:/var/lib:ro -v /var/run/docker.sock:/var/run/docker.sock:ro --label docker_bench_security docker/docker-bench-security该脚本运行各种测试并为每个测试提供 INFO NOTE PASS 或 WARN 结果。
