當前位置:
首頁 > 最新 > Docker用以提高Linux內核安全性的三大熱點技術

Docker用以提高Linux內核安全性的三大熱點技術

關於譯者Ghostcloud

Ghostcloud(中文名:精靈雲)是成都精靈雲科技有限公司旗下的基於Docker的PaaS/CaaS平台品牌。公司成立於2015年,核心團隊由來自EMC、Veritas、華為、IBM、Microsoft的核心技術主管和架構師組成。精靈雲作為國內首批從事容器虛擬化研發的企業,為企業級行業客戶提供針對互聯網化、私有雲管理平台、大數據業務基礎架構的平台服務,在國內Docker社區貢獻排名前三。主創團隊曾參與Beego開源項目研發,並主導發布《Docker容器實戰:原理、架構與應用》一書。Ghostcloud因容器技術而生,致力於為多個領域的「互聯網+」轉型企業提供服務,是一流的企業級容器雲服務專家。

前言

LinuxKit項目目前正在孵化幾種用以提高Linux安全性的技術,包括Wireguard VPN和Landlock。

今年4月18日,Docker正式對外發布一款開源工具包LinuxKit,用以構建容器優化的Linux發行版。目前,Docker想通過在其LinuxKit社區中孵出幾個新生的Linux安全項目來提高Linux內核安全性。

對Docker公司來說,Docker的安全性至關重要,而LinuxKit在成功提升Docker的安全性上必將是十分具有代表性的。據悉,LinuxKit項目也確實如預期那樣孵化出一些專門用於提高Linux安全性的項目。而Docker和LinuxKit項目的主要職責是確保所有的Linux內核安全工作能向上游移動到Linux內核的主線工作中去。

不僅如此,Docker方面還希望那些在Linux社區中為提升安全性做出貢獻的人可以在LinuxKit項目中獲得更多的成就感。

現在,我們就一起來看看LinuxKit項目都孵化了哪些提升Linux安全性的技術。

Wireguard

開源Wireguard VPN來自LinuxKit社區,適用於Linux系統。Wireguard 是一類新型VPN,且採用了加密技術。這種加密技術常用於安全消息應用程序,比如WhatsApp應用程序使用的是Noise Protocol技術框架,而這個技術框架同時也是Wireguard VPN的核心技術框架。可見Wireguard帶給Linux的是一種非常輕量級和安全的VPN技術。

有趣地是,根據Docker方面透露,Wireguard可以掛載到網路命名空間中去,並實現容器到容器的加密通信。

KSPP

內核自我保護項目(Kernel Self Protection Project,以下簡稱「KSPP」)是由來自Google的一名開發者Kees Cook於2016年推出的。項目一經推出,KSPP便作為向Linux內核提供多層安全性保障的一種方式,且在KSPP工作的許多領域中都有幫助緩解內存損失風險的保護措施。

Docker公司認為KSPP是改進Linux安全性和LinuxKit項目的重要工具,因此,幾名來自Docker的全職員工目前也在為KSPP服務並為KSPP項目做出貢獻。

Landlock

Linux內核主線中有一些Linux安全模塊(LSM)為Linux中運行的進程提供訪問控制策略,其中最為熟知的兩個LSM是SELinux和AppArmor。 SELinux最初由美國國家安全局(NSA)開發,如今是基於Red Hat的Linux發行版的核心部分。

LinuxKit項目孵化出了一款新的LSM——Landlock。Landlock利用擴展的伯克利數據包過濾器(eBPF)將小程序掛載到Linux內核。

據Docker公司方面透露,當這些eBPF程序集成LSM後,可為上下游提供非常強大的決策環境。因而,Landlock加入到LinuxKit將對基於容器的環境非常有利。「

舉例來看,Landlock可寫入限制容器訪問不屬於容器本身的文件描述符的策略,這被當做是限制容器轉義的最後一道防線。因此,Landlock對Docker容器的使用者來說其實是有益無害的。

另外,Landlock中用以保護容器部署的規則提非常靈活。因為現有的LSM並不總是易於系統管理員進行配置,所以,我們期待Landlock在使用上可以更簡化易上手。

結語

如今,容器安全技術的市場在不斷增長,市場上存在多家供應商,包括Twistlock,Anchore,Aqua Security,NeuVector,Aporeto,Tenable和Capsule8等在內的廠商都在研發相關的產品。由於LinuxKit的出現,Docker將有望為容器安全領域提供核心支持。

我們希望Docker作為平台提供商,能儘可能地解決基礎安全問題,並為應用程序創建一個安全的基礎環境,以更好的發揮平台上的各項功能。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 推酷 的精彩文章:

分時租賃企業「Ponycar」宣布獲1.5億B輪融資,投資方為惠友和OPPO
二叉樹的那些使用
Houseparty 的模式核心?現在視頻認為是看似不起眼的「通知」功能
透過F5獲取伺服器真實內網IP

TAG:推酷 |

您可能感興趣

Clear Linux 或有新的內核選項
Canonical發布Linux內核更新
Facebook開源Linux內核組件和工具:BPF、Btrfs、Netconsd、Cgroup2、PSI、Oomd
UKTools:安裝最新 Linux 內核的簡便方法
macOS和Linux 的內核有什麼區別
Symantec NetBackup 部署需要調整Linux內核詳解
火狐批微軟Edge將採用Chromium內核
RISC-V的Linux內核將會支持HiFive Unleashed開發板
Linux內核內存管理演算法Buddy和Slab
linux內核將用BPF給iptables「換心」
Intel SGX的Linux內核主線化仍有問題
Chromium內核EDGE瀏覽器已提供Windows 7/8版,老系統用戶可以一試
Windows-Kernel-Explorer : 內核研究工具
Google Fuchsia微內核Zircon先睹為快
基於Chromium內核的Edge瀏覽器開始測試:有望加大市場份額
如何在 Ubuntu LTS 系統上啟用 Canonical 的內核實時補丁服務
用sysctl調整linux內核選項
Fuchsia與微內核
Linux穩定版內核撤回嚴重影響性能的Spectre補丁
微軟Chromium內核Edge Dev曝重大Bug:發布後立即撤回