Docker 容器有什么缺陷

Docker容器有以下缺陷：

• 容器之間的局域網攻擊：主機上的容器之間可以構成局域網，因此針對局域網的ARP欺騙、嗅探、廣播風暴等攻擊方式便可以用上。所以，在一個主機上部署多個容器需要合理的配置網絡，設置iptable規則。

• DDoS攻擊耗盡資源：Cgroups安全機制就是要防止此類攻擊的，不要為單一的容器分配過多的資源即可避免此類問題。

• 有漏洞的系統調用：Docker與虛擬機的一個重要的區別就是Docker與宿主機共用一個操作系統內核。一旦宿主內核存在可以越權或者提權漏洞，盡管Docker使用普通用戶執行，在容器被入侵時，攻擊者還可以利用內核漏洞跳到宿主機做更多的事情。

• 共享root用戶權限：如果以root用戶權限運行容器，容器內的root用戶也就擁有了宿主機的root權限。

• Docker自身漏洞：作為一款應用Docker本身實現上會有代碼缺陷。CVE官方記錄Docker歷史版本共有超過20項漏洞。黑客常用的攻擊手段主要有代碼執行、權限提升、信息泄露、權限繞過等。目前Docker版本更迭非常快，Docker用戶最好將Docker升級為最新版本。

解決容器安全問題方法有以下這些：

• Docker自身安全性改進：在過去容器里的root用戶就是主機上的root用戶，如果容器受到攻擊，或者容器本身含有惡意程序，在容器內就可以直接獲取到主機root權限。Docker從1.10版本開始，使用UserNamespace做用戶隔離，實現了容器中的root用戶映射到主機上的非root用戶，從而大大減輕了容器被突破的風險，因此建議盡可能使用最新版Docker。

• 保障鏡像安全：為保障鏡像安全，我們可以在私有鏡像倉庫安裝鏡像安全掃描組件，對上傳的鏡像進行檢查，通過與CVE數據庫對比，一旦發現有漏洞的鏡像及時通知用戶或阻止非安全鏡像繼續構建和分發。同時為了確保我們使用的鏡像足夠安全，在拉取鏡像時，要確保只從受信任的鏡像倉庫拉取，并且與鏡像倉庫通信一定要使用HTTPS協議。

• 加強內核安全和管理：宿主機內核盡量安裝最新補丁；使用Capabilities劃分權限，它實現了系統更細粒度的訪問控制；啟動容器時一般不建議開啟特權模式，如需添加相應的權限可以使用–cap-add參數。

• 使用安全加固組件：Linux的SELinux、AppArmor、GRSecurity組件都是Docker官方推薦的安全加固組件，這三個組件可以限制一個容器對主機的內核或其他資源的訪問控制，目前容器報告里的一些安全漏洞。

• 資源限制：在生產環境中，建議每個容器都添加相應的資源限制，這樣即便應用程序有漏洞，也不會導致主機的資源被耗盡，最大限度降低了安全風險。

• 使用安全容器：容器有著輕便快速啟動的優點，虛擬機有著安全隔離的優點，有沒有一種技術可以兼顧兩者的優點，做到既輕量又安全呢？答案是有的，那就是安全容器。安全容器與普通容器的主要區別在于，安全容器中的每個容器都運行在一個單獨的微型虛擬機中，擁有獨立的操作系統和內核，并且有虛擬機般的安全隔離性。

回答所涉及的環境：聯想天逸510S、Windows 10。