AppSec & Pentest
CloudSec
CloudSec
  • Sandboxes, Containers, Virtualization
    • Какие бывают
    • Kubernetes
      • About
      • Tools
        • kubectl
        • minikube
        • helm
        • tiller
        • Others
      • Components
      • Concepts
      • Security
      • Learning
      • Conferences & Events
    • Container Runtime Interface (CRI)
      • containerd
      • CRI-0
      • Podman
      • Colima
      • Docker
        • About
        • CLI
        • Dockerfile
        • docker compose
        • Registry
        • Testcontainers
        • [Def] Security
        • [Off] Security
    • Red Hat OpenShift Container Platform (OCP)
      • About
      • OCP Components
        • Platform services
        • Application services
        • Developer services
        • OpenShift Kubernetes Engine
      • Security
        • Container Security
        • Podman
        • Kubernetes Security
        • Securing Platform Services
        • Vulnerabilities
        • CIS
    • VMWare
      • Workspace ONE Access
      • Workspace One UEM SSRF (AirWatch)
      • vSphere
      • vCenter
      • Learn
      • Horizon Security Server
      • VMWare log4j
    • Tools
      • Build container image inside containers
      • Moby
      • Security
  • Cloud
    • Google Cloud Platform (GCP)
      • GCP Components
      • GCP CLI
      • Security
        • Get access to GCP via service-account [json]
        • PrivEsc
        • Papers
      • Courses & Certifications
    • Azure
      • Azure Start
      • Azure CLI
      • Компоненты и механизмы
        • Azure Storage BLOB
        • Подписанные URL (SAS)
      • Papers and Resources
      • Azure Security Center
      • Tools
    • AWS
      • AWS Intro
      • AWS Basics
      • AWS Components
        • Computing
        • Storage
        • Messaging
        • Serverless
        • Business Productivity
        • Network and Content Delivery
        • Mobile
        • Databases
      • AWS Testing
      • Basic Work: Examples
        • AWS Cli
        • AWS SES
        • S3 Bucket
      • Security
        • Enumeration
        • AWS Lambda
        • Разные примеры
        • Learn Materials
      • Books & Papers
      • Courses & Certifications
    • Yandex Cloud
      • YC CLI
      • YC API
      • Cloud Organization
      • VM
        • Cloud Computing
        • Virtual Private Cloud (VPC)
        • Network Load Balancer
      • Data Platform
        • Definitions
        • Как выбрать БД
        • Реляционные БД
        • Нереляционные БД
        • Object Storage and S3
      • Yandex k8s
      • Serverless
      • Security
      • Billing
    • Another platforms
    • OpenStack
    • Tools
      • Tool list
      • Packer
      • Terraform
        • Intro
        • Getting started
        • Configuration
          • Basic
            • Terraform Block
            • Providers
            • Resources
            • Variables
            • Outputs
            • Functions
          • Modules
        • Security
        • Papers
    • Papers
Powered by GitBook
On this page
  • Docker capabilities
  • Безопасность Docker-контейнеров

Was this helpful?

  1. Sandboxes, Containers, Virtualization
  2. Container Runtime Interface (CRI)
  3. Docker

[Def] Security

Docker capabilities

У докер контейнеров есть возможность ограничивать или предоставлять доступ к какой-то функциональности (например, доступ к сетевым интерфейсам хоста, или дать возможность контейнеру работать с группами, менять их и тп).

В целях безопасности:

Обязательны для блокировки:

  • SYS_CHROOT

  • SYS_PTRACE

  • NET_RAW

  • NET_ADMIN

  • SYS_ADMIN

Опциональны для блокировки (рекомендуется для собственных сервисов, дополнение к обязательным):

  • FSETID

  • SETUID

  • SETGID

  • CHOWN

  • NET_BIND_SERVICE

Не надо использовать директиву privileged.

Во всех образах должны быть созданы отдельные пользователи, т.е. запрещено использование пользователя root (uid=0)

Безопасность Docker-контейнеров

Хороший материал об обеспечении безопасности Docker'а. Начиная от правильной конфигурации самого демона, и заканчивая настройкой seccomp (позволяет ограничить список системных вызовов, доступных конкретному приложению) и Docker secrets.

PreviousTestcontainersNext[Off] Security

Last updated 2 years ago

Was this helpful?

Часть капабилити будут выключены в принудительном порядке, поэтому сервис надо разрабатывать с учетом этого. Вы обязательно должны дропнуть (cap_drop) следующие капабилити: FSETID, SETUID, SETGID, SYS_CHROOT, SYS_PTRACE, CHOWN, NET_RAW, NET_ADMIN, SYS_ADMIN, NET_BIND_SERVICE, подробнее:

https://docs.docker.com/compose/compose-file/compose-file-v3/#cap_add-cap_drop
https://0x00sec.org/t/securing-docker-containers/16913