当今的世界是云和容器的世界,基本的基础设施都基本基于云原生和容器。容器的地位凸显了出来,动辄一键上万个容器情况下,安全的问题却常常被忽视。通常情况下容器的编排、配置和参数配置都是出自开发人员之手,这些配置可能没有经过严格的安全审计、没有权限控制,甚至没有标准化,混乱不堪。除了在强力策略和配置管理外,其实借助更好的工具可以帮我们从根源上杜绝很多问题。
在安全容器编排上,就有一个更好的工具Podman可以用来替代Docker从而实现更现代、更标准、更安全的容器云。
概述容器,是一个独立的可执行包,其中包含应用程序运行所需的所有内容,包括代码、运行时、库和系统设置,利用容器我们可以在何时何地都能启动该应用程序,让其以同样方式运行。Java发明时候吹的“一次编译,到处运行”的牛到容器时代才算实现了!
容器很好的解决了不同机器上环境配置差异导致的运行差异的问题,即运行时一致性。
有了容器,咱们再也无需担心Python版本问题,也不用害怕npm黑洞了。
容器体系的核心是容器运行时,容器运行时用来管理和执行容器。比如docker就是一个传统的容器运行时,还有后来从docker中分离出来的containerd和OCI标准的cri-o。
优势
相比较传统的docker运行,Podman的优势明显:
无root架构:Docker运行需要,由宿主机root权限的Docker Daemon监听程序,该监听程序会开放一个对外端口2375,而且默认情况下无需授权的,利用该程序就可以远程任意启动和删除容器。
也可以利用容器逃逸漏洞,获得Docker Daemon权限,从而得到宿主机的root权限。
Podman则使用完全不同的玩法,使用子进程方式,无守护进程,从而也无需root权限。
安全漏洞:Docker中的root访问权限允许它通过读取文件、安装程序、编辑应用程序等来管理容器。然而,这也给系统带来了安全漏洞,使守护进程成为黑客的有吸引力的目标。
黑客目标:如果黑客设法破坏守护进程,就可以获得容器集群中的敏感数据、执行恶意代码、更改容器配置,甚至摧毁容器集群。
使用SELinux增强安全性:与Docker相比,Podman通过使用安全增强型 Linux (SELinux)标签启动每个容器来增强其安全性。
对其他工具的依赖:由于Podman是无root的,因此它不直接管理容器。
但是Podman支持所有OCI的云原生工具和其他工具来进行容器管理:
Systemd:Podman调用配置的容器运行时来创建正在运行的容器。但由于没有专用的守护进程,Podman可以使用systemd来进行更新并保持容器在后台运行。
Buildah:OCI的云原生工具,用于构建与开放容器计划(OCI)兼容的容器。Buildah可以创建和管理容器,而无需安装完整的容器运行时或守护程序。
Skopeo:OCI的云原生工具,Skopeo是一个命令行实用程序,用于使用容器镜像和镜像托管注册表执行各种操作,容器的轻量级解决方案。
所有以上工具各自其职,构成了以Podman为核心的新一代容器系统。
基本设置Poman安装配置和docker一样也是非常方便容易。
安装Podman目前支持在Linux、MacOS和Window下安装。
Linux下安装则支持yum、dnf、apt-get、pacman、apk等各发行版对应的包管理器一键安装。在window下的程序使用Podman Windows,容器系统基于WSL。
在MacOS(本文以此为基础环境,下面不在说明)下是基于QEMU容器,安装可使用Homebrew:
brew install podman初始化对于MacOS要运行podman需要首先初始化,可使用:
podman machine init
该命令初始化运行容器的新Linux虚拟机。自动生成SSH密钥以访问VM以及与 root帐户的系统连接并添加虚拟机内的用户帐户。
Podman-ComposePodman-Compose是一个使用Podman运行Docker Compose的脚本,可以使用
brew install podman-compose针对如下一个Compose配置编排
可以使用
podman compose up -d启动对应的两个数据库容器。
Podman-DesktopPodman-Desktop为Podman提供类似Docker桌面的体验。安装它使用brew install podman-desktop
例如,可以检查Podman Desktop,查看上一步中创建的的两个镜像和运行的容器:
可以使用podman info验证Podman详细信息验证Podman的安装和配置细节,下面一个例子:
也可以用Podman CLI验证Podman的详细信息、检查其镜像并管理正在运行的容器。
安全性对给定的三个场景场,三个Linux用户创建的容器。其中左右两边的用户使用podman创建,其容器系统为隔离的无root权限的,这些用户只能访问各自用户命名空间内的资源。该设置增强了安全性,因为它限制每个容器对其自己的命名空间的访问。
而上面的用户用了docker,用类似的命令创建了命令,由于其使用的docker底层使用的Docker Daemon,它拥有有root访问权限,可以查看主机系统上的所有资源,甚至是其名称空间之外的资源。这会带来安全风险,因为会让系统遭受潜在的攻击。相比之下,Podman这种无root架构,限制了对用户自己命名空间的访问,增强了安全性。
总结在容器云时代,数据隐私和安全至关重要。安全不合规会导致严重后果,轻则导致数据泄露、重则集群沦为肉鸡。Podman以安全编排为基础构建,可以帮助用户实现安全、标准、合规的容器生态。
2024年了请动手更换自己的容器把,别再遗留隐患了。
