簡介

docker 賴以生存的“Secure by Default”，docker EE 預設的配置和策略提供基礎雄厚的安全環境，因此，他們可以非常容易的修改來適應不同組織的特殊需求。
docker 把重點放到了容器安全的三個關鍵領域：安全訪問、安全內容、安全平臺。這導致不僅在Docker EE中內建了隔離和包容功能，而且還啟用了開箱即用功能，Linux核心的攻擊面積減少。Docker守護程序的控制功能得到了改進，管理員可以構建，釋出並執行更安全的應用程式。

你會學到什麼

本文件概述了Docker EE的預設安全性以及進一步保護Universal Control Plane和Docker Trusted Registry的最佳做法。 Docker EE 2.0中引入的新功能，如Image Mirroring和Kubernetes也在探索中。

縮略語

UCP = Universal Control Plane
DTR = Docker Trusted Registry
RBAC = Role Based Access Control
CA = Certificate Authority
EE = Docker Enterprise Edition
HA = High Availability
BOM = Bill of Materials
CLI = Command Line Interface
CI = Continuous Integration

引擎和節點安全

已經有幾個資源涵蓋了Docker引擎安全性的基礎知識：

限制節點的root訪問

Docker EE使用來自主機的完全獨立的身份驗證後端，提供明確的職責分離，Docker EE可以利用現有的LDAP / AD基礎設施進行身份驗證。它甚至使用RBAC標籤來控制對映象和執行容器等物件的訪問，這意味著使用者團隊可以完全訪問正在執行的容器。 通過此訪問，使用者可以觀看日誌並在正在執行的容器內執行shell命令。 使用者永遠不需要登入到主機。 限制有權訪問主機的使用者數量會減少攻擊面。

遠端訪問daemon

不要啟用遠端守護程序socket。 如果您必須開啟它的引擎，那麼總是使用證書來保護它。 使用通用控制平面時，不應該開啟守護程式socket。 如果必須，請務必檢視有關保護守護程式的socker說明。

Privileged 容器

儘可能避免執行特權容器，執行特權容器可以讓容器訪問所有主機的namespace(net\pid等等)，這將給予容器控制主機的許可權，通過保持容器和主機認證的獨立性，確保您的基礎設施安全。

容器UID管理

預設情況下，容器內的使用者是root使用者。 使用縱深防禦模型，建議不是所有的容器都以root身份執行。 緩解這種情況的簡單方法是在執行時使用–user宣告。 該容器作為指定使用者執行，實質上刪除了根訪問許可權。
另請注意，容器內的檔案的UID / GID組合與容器外部的檔案是相同的，看下面的例子：一個容器以UID 10000和GID 10000執行。如果使用者touch一個檔案在/tmp/secret_file目錄，則檔案的UID / GID在容器內部和外部都是相同的，如下所示：

root @ ~  docker run --rm -it -v /tmp:/tmp --user 10000:10000 alpine sh
/ $ whoami
whoami: unknown uid 10000
/ $ touch /tmp/secret_file
/ $ ls -asl /tmp/secret_file
     0 -rw-r--r--    1 10000    10000            0 Jan 26 13:48 /tmp/secret_file
/ $ exit
root @ ~  ls -asl /tmp/secret_file
0 -rw-r--r-- 1 10000 10000 0 Jan 26 08:48 /tmp/secret_file

開發人員在容器中應該儘可能少的使用root許可權，開發人員應該在他們的dockerfile中用USER宣告建立執行容器的使用者。

Seccomp

Seccomp（Secure Computing Mode的簡寫），是Linux核心的一項安全特性，用於限制給定程序的系統呼叫，這個特性出現在liunux核心2.6.12版本以後以及docker 1.10以後，當前的Docker Engine實現提供了一組預設的受限系統呼叫，並且還允許系統呼叫通過每個容器的白名單或黑名單進行過濾（不同的過濾器可以應用於執行在同一個引擎中的不同容器），Seccomp配置檔案在容器建立時應用，在容器執行以後不能更改。
開箱即用，Docker帶有一個預設的Seccomp配置檔案，對絕大多數用例都非常有效。 一般來說，除非絕對必要，否則不建議應用自定義配置檔案 有關構建自定義配置檔案並應用它們的更多資訊可以在Docker Seccomp文件中找到。
檢查自己的系統是否支援seccomp，使用下面的命令：

cat /boot/config-uname -r | grep CONFIG_SECCOMP=

輸入如下：
CONFIG_SECCOMP=y

AppArmor / SELinux

AppArmor和SELinux在使用配置檔案方面與Seccomp類似，儘管他們在執行上有所不同，AppArmor和SELinux使用的配置檔案語言不同，AppArmor僅適用於基於Debian的發行版，如Debian和Ubuntu。 SELinux可在Fedora / RHEL / CentOS / Oracle Linux上使用，而不是簡單的系統呼叫和引數列表，都允許定義角色（通常是程序），動作（讀取檔案，網路操作）和目標（檔案，IP，協議等）
要在Docker守護程式中啟用SELinux，請修改/etc/docker/daemon.json並新增以下內容：

“selinux-enabled”: true

要檢查SELinux是否啟用：
docker info |grep -A 3 “Security Options”
輸出如下：

[email protected]:~$ docker info |grep -A 3 "Security Options"
WARNING: No swap limit support
Security Options:
 apparmor
 seccomp
  Profile: default

AppArmor未應用於Docker守護程序。Apparmor配置檔案需要在容器執行時應用：

docker run –rm -it –security-opt apparmor=docker-default hello-world

Runtime Privilege 和 Linux Capabilities