Αναγνώστες σαν εσάς βοηθούν στην υποστήριξη του MUO. Όταν κάνετε μια αγορά χρησιμοποιώντας συνδέσμους στον ιστότοπό μας, ενδέχεται να κερδίσουμε μια προμήθεια θυγατρικών. Διαβάστε περισσότερα.

Το Docker είναι μια από τις πιο χρησιμοποιούμενες πλατφόρμες μεταφοράς εμπορευματοκιβωτίων και είναι ιδιαίτερα αγαπητό μεταξύ των μηχανικών λογισμικού. Έρχεται με ένα ισχυρό εργαλείο CLI για τη διαχείριση κοντέινερ Docker και άλλων σχετικών εργασιών.

Από προεπιλογή, χρειάζεστε δικαιώματα root για να εκτελέσετε τυχόν εντολές που σχετίζονται με το Docker στο Linux. Φυσικά, μπορείτε να το αλλάξετε αυτό για ευκολία και να εκτελέσετε εντολές Docker χωρίς δικαιώματα root, αλλά θα πρέπει να γνωρίζετε τις επιπτώσεις στην ασφάλεια.

Τι είναι το Docker Attack Surface;

Μια επιφάνεια επίθεσης είναι ο αριθμός των σημείων επίθεσης, περισσότερο σαν τον αριθμό των παραθύρων, που μπορεί να χρησιμοποιήσει ένας κακόβουλος χρήστης για να εισέλθει στο σύστημά σας και να προκαλέσει όλεθρο. Κατά κανόνα, τα συστήματα πληροφορικής θα πρέπει να έχουν ελάχιστες επιφάνειες επίθεσης για τη μείωση των κινδύνων ασφαλείας.

Γενικά, η επιφάνεια επίθεσης του Docker είναι πολύ ελάχιστη. Τα κοντέινερ λειτουργούν σε ένα ασφαλές απομονωμένο περιβάλλον και δεν επηρεάζουν το λειτουργικό σύστημα του κεντρικού υπολογιστή, εκτός εάν διαφορετικά. Επιπλέον, τα κοντέινερ Docker εκτελούν μόνο ελάχιστες υπηρεσίες που το καθιστούν πιο ασφαλές.

Μπορείτε να διαμορφώσετε το σύστημά σας Linux ώστε να ελέγχει το Docker χωρίς δικαιώματα sudo. Αυτό μπορεί να είναι βολικό σε περιβάλλοντα ανάπτυξης, αλλά μπορεί να είναι μια σοβαρή ευπάθεια ασφαλείας στα συστήματα παραγωγής. Και να γιατί δεν πρέπει ποτέ να τρέχετε το Docker χωρίς sudo.

1. Δυνατότητα ελέγχου Docker Containers

Χωρίς τα δικαιώματα sudo, οποιοσδήποτε έχει πρόσβαση στο σύστημα ή τον διακομιστή σας μπορεί να ελέγξει κάθε πτυχή του Docker. Έχουν πρόσβαση στα αρχεία καταγραφής του Docker και μπορούν να σταματήσουν και να διαγράψουν κοντέινερ κατά βούληση ή κατά λάθος. Θα μπορούσατε επίσης να χάσετε κρίσιμα δεδομένα που είναι ζωτικής σημασίας για τη συνέχεια της επιχείρησης.

Εάν χρησιμοποιείτε κοντέινερ Docker σε περιβάλλοντα παραγωγής, ο χρόνος διακοπής λειτουργίας οδηγεί σε απώλεια επιχειρηματικής δραστηριότητας και εμπιστοσύνης.

2. Αποκτήστε τον έλεγχο των καταλόγων του κεντρικού λειτουργικού συστήματος

Το Docker Volumes είναι μια ισχυρή υπηρεσία που σας επιτρέπει να μοιράζεστε και να διατηρείτε δεδομένα κοντέινερ γράφοντάς τα σε έναν καθορισμένο φάκελο στο κεντρικό λειτουργικό σύστημα.

Μία από τις μεγαλύτερες απειλές που παρουσιάζει η εκτέλεση του Docker χωρίς sudo είναι ότι οποιοσδήποτε στο σύστημά σας μπορεί να αποκτήσει τον έλεγχο των καταλόγων του κεντρικού λειτουργικού συστήματος, συμπεριλαμβανομένου του ριζικού καταλόγου.

Το μόνο που έχετε να κάνετε είναι να εκτελέσετε μια εικόνα Linux Docker, για παράδειγμα, την εικόνα του Ubuntu, και να την προσαρτήσετε στον ριζικό φάκελο χρησιμοποιώντας την ακόλουθη εντολή:

docker run -ti -v /:/hostproot ubuntu bash

Και δεδομένου ότι τα κοντέινερ Linux Docker εκτελούνται ως ριζικός χρήστης, ουσιαστικά σημαίνει ότι έχετε πρόσβαση σε ολόκληρο τον ριζικό φάκελο.

Η προαναφερθείσα εντολή θα κατεβάσει και θα εκτελέσει την πιο πρόσφατη εικόνα του Ubuntu και θα την προσαρτήσει στον ριζικό κατάλογο.

Στο τερματικό κοντέινερ του Docker, μεταβείτε στο /hostproot καταλόγου χρησιμοποιώντας την εντολή cd:

CD /hostproot

Καταχώρηση των περιεχομένων αυτού του καταλόγου χρησιμοποιώντας την εντολή ls εμφανίζει όλα τα αρχεία του λειτουργικού συστήματος υποδοχής που είναι πλέον διαθέσιμα στο κοντέινερ σας. Τώρα, μπορείτε να χειριστείτε αρχεία, να προβάλετε μυστικά αρχεία, να αποκρύψετε και να καταργήσετε την απόκρυψη αρχείων, να αλλάξετε δικαιώματα κ.λπ.

3. Εγκαταστήστε κακόβουλο λογισμικό

Μια καλοφτιαγμένη εικόνα Docker μπορεί να εκτελεστεί στο παρασκήνιο και να χειριστεί το σύστημά σας ή να συγκεντρώσει ευαίσθητα δεδομένα. Ακόμη χειρότερα, ένας κακόβουλος χρήστης θα μπορούσε να διαδώσει κακόβουλο κώδικα στο δίκτυό σας μέσω κοντέινερ Docker.

Υπάρχουν αρκετές περιπτώσεις πρακτικής χρήσης δοχείων Docker, και με κάθε εφαρμογή έρχεται ένα διαφορετικό σύνολο απειλών ασφαλείας.

Ασφαλίστε τα Docker Containers σας στο Linux

Το Docker είναι μια ισχυρή και ασφαλής πλατφόρμα. Η εκτέλεση του Docker χωρίς sudo αυξάνει την επιφάνεια επίθεσης και κάνει το σύστημά σας ευάλωτο. Σε περιβάλλοντα παραγωγής, συνιστάται ιδιαίτερα να χρησιμοποιείτε το sudo με το Docker.

Με τόσους πολλούς χρήστες σε ένα σύστημα, γίνεται εξαιρετικά δύσκολο να εκχωρήσετε δικαιώματα σε κάθε χρήστη. Σε τέτοιες περιπτώσεις, η τήρηση των βέλτιστων πρακτικών ελέγχου πρόσβασης μπορεί να σας βοηθήσει να διατηρήσετε την ασφάλεια του συστήματός σας.