文档章节

Docker用以提高Linux内核安全性的三大热点技术

暖夏未眠丶
 暖夏未眠丶
发布于 2017/06/20 14:55
字数 1668
阅读 19
收藏 0

摘要: Ghostcloud(中文名:精灵云)是成都精灵云科技有限公司旗下的基于Docker的PaaS/CaaS平台品牌。公司成立于2015年,核心团队由来自EMC、Veritas、华为、IBM、Microsoft的核心技术主管和架构师组成。

关于译者Ghostcloud
Ghostcloud(中文名:精灵云)是成都精灵云科技有限公司旗下的基于Docker的PaaS/CaaS平台品牌。公司成立于2015年,核心团队由来自EMC、Veritas、华为、IBM、Microsoft的核心技术主管和架构师组成。精灵云作为国内首批从事容器虚拟化研发的企业,为企业级行业客户提供针对互联网化、私有云管理平台、大数据业务基础架构的平台服务,在国内Docker社区贡献排名前三。主创团队曾参与Beego开源项目研发,并主导发布《Docker容器实战:原理、架构与应用》一书。Ghostcloud因容器技术而生,致力于为多个领域的“互联网+”转型企业提供服务,是一流的企业级容器云服务专家。

前言

LinuxKit项目目前正在孵化几种用以提高Linux安全性的技术,包括Wireguard VPN和Landlock。

今年4月18日,Docker正式对外发布一款开源工具包LinuxKit,用以构建容器优化的Linux发行版。目前,Docker想通过在其LinuxKit社区中孵出几个新生的Linux安全项目来提高Linux内核安全性。
1

Docker用以提高Linux内核安全性的三大热点技术

对Docker公司来说,Docker的安全性至关重要,而LinuxKit在成功提升Docker的安全性上必将是十分具有代表性的。据悉,LinuxKit项目也确实如预期那样孵化出一些专门用于提高Linux安全性的项目。而Docker和LinuxKit项目的主要职责是确保所有的Linux内核安全工作能向上游移动到Linux内核的主线工作中去。
2

Docker用以提高Linux内核安全性的三大热点技术

不仅如此,Docker方面还希望那些在Linux社区中为提升安全性做出贡献的人可以在LinuxKit项目中获得更多的成就感。

现在,我们就一起来看看LinuxKit项目都孵化了哪些提升Linux安全性的技术。

Wireguard

开源Wireguard VPN来自LinuxKit社区,适用于Linux系统。Wireguard 是一类新型VPN,且采用了加密技术。这种加密技术常用于安全消息应用程序,比如WhatsApp应用程序使用的是Noise Protocol技术框架,而这个技术框架同时也是Wireguard VPN的核心技术框架。可见Wireguard带给Linux的是一种非常轻量级和安全的VPN技术。
3

Docker用以提高Linux内核安全性的三大热点技术

有趣地是,根据Docker方面透露,Wireguard可以挂载到网络命名空间中去,并实现容器到容器的加密通信。

KSPP

内核自我保护项目(Kernel Self Protection Project,以下简称“KSPP”)是由来自Google的一名开发者Kees Cook于2016年推出的。项目一经推出,KSPP便作为向Linux内核提供多层安全性保障的一种方式,且在KSPP工作的许多领域中都有帮助缓解内存损失风险的保护措施。
4

Docker用以提高Linux内核安全性的三大热点技术

Docker公司认为KSPP是改进Linux安全性和LinuxKit项目的重要工具,因此,几名来自Docker的全职员工目前也在为KSPP服务并为KSPP项目做出贡献。

Landlock

Linux内核主线中有一些Linux安全模块(LSM)为Linux中运行的进程提供访问控制策略,其中最为熟知的两个LSM是SELinux和AppArmor。 SELinux最初由美国国家安全局(NSA)开发,如今是基于Red Hat的Linux发行版的核心部分。

LinuxKit项目孵化出了一款新的LSM——Landlock。Landlock利用扩展的伯克利数据包过滤器(eBPF)将小程序挂载到Linux内核。
5

Docker用以提高Linux内核安全性的三大热点技术

据Docker公司方面透露,当这些eBPF程序集成LSM后,可为上下游提供非常强大的决策环境。因而,Landlock加入到LinuxKit将对基于容器的环境非常有利。“

举例来看,Landlock可写入限制容器访问不属于容器本身的文件描述符的策略,这被当做是限制容器转义的最后一道防线。因此,Landlock对Docker容器的使用者来说其实是有益无害的。

另外,Landlock中用以保护容器部署的规则提非常灵活。因为现有的LSM并不总是易于系统管理员进行配置,所以,我们期待Landlock在使用上可以更简化易上手。

结语

如今,容器安全技术的市场在不断增长,市场上存在多家供应商,包括Twistlock,Anchore,Aqua Security,NeuVector,Aporeto,Tenable和Capsule8等在内的厂商都在研发相关的产品。由于LinuxKit的出现,Docker将有望为容器安全领域提供核心支持。

我们希望Docker作为平台提供商,能尽可能地解决基础安全问题,并为应用程序创建一个安全的基础环境,以更好的发挥平台上的各项功能。

推荐阅读:
在Hadoop上运行Docker容器的六大陷阱
【译闻】容器的管理,也是一门艺术
Docker容器云在金融行业的应用

原文链接:

http://www.eweek.com/security/docker-aims-to-improve-linux-kernel-security-with-linuxkit

关于译者Ghostcloud
Ghostcloud(中文名:精灵云)是成都精灵云科技有限公司旗下的基于Docker的PaaS/CaaS平台品牌。公司成立于2015年,核心团队由来自EMC、Veritas、华为、IBM、Microsoft的核心技术主管和架构师组成。精灵云作为国内首批从事容器虚拟化研发的企业,为企业级行业客户提供针对互联网化、私有云管理平台、大数据业务基础架构的平台服务,在国内Docker社区贡献排名前三。主创团队曾参与Beego开源项目研发,并主导发布《Docker容器实战:原理、架构与应用》一书。Ghostcloud因容器技术而生,致力于为多个领域的“互联网+”转型企业提供服务,是一流的企业级容器云服务专家。

用云栖社区APP,舒服~

原文链接

本文转载自:

共有 人打赏支持
暖夏未眠丶
粉丝 0
博文 250
码字总数 427
作品 0
太原
私信 提问
Docker与自动化测试及其测试实践

Docker 与自动化测试 对于重复枯燥的手动测试任务,可以考虑将其进行自动化改造。自动化的成本在于自动化程序的编写和维护,而收益在于节省了手动执行用例的时间。简而言之,如果收益大于成本...

程序猿拿Q
12/07
0
0
官方简要解读 LinuxKit 工具包

LinuxKit 是什么? LinuxKit所包含的工具可以允许用户构建自定义的Linux子系统。所有的系统服务都是可以替换的容器,并且用户可以移除所有不需要的东西。这是一款非常符合Docker设计理念的工...

木环
01/07
0
0
谷歌红帽及 VMware 宣布支持 CoreOS 容器

在旧金山举行的CoreOS Fest大会上,Red Hat、Google、VMware及Apcera宣布支持应用容器规范(appc)。Appc是由社区开发并制定的规范,用于为应用容器定义镜像格式、运行时环境及发现机制。 在...

oschina
2015/05/05
4.1K
10
[Docker]Docker简介

1. 什么是Docker Docker是开源项目。Docker是基于Go语言实现的云开源项目,诞生于2013年初,最初发起者是dotCloud公司。Docker自开源后受到广泛的关注和讨论,目前已有多个相关项目,逐渐形成...

sjf0115
2016/06/20
0
0
投票有礼 | 玩转 Linux,哪些技能会是您的必备之选?

随着 Linux 在服务器和嵌入式市场中的普及,接触 Linux 的人越来越多,从桌面到服务器、从 Ubuntu 到 Centos、从计算机到路由器等等。不管你是 Linux 的初学者,还是玩转高逼格命令行的高手,...

达尔文
2017/07/10
3.5K
25

没有更多内容

加载失败,请刷新页面

加载更多

tomcat shutdown.sh不能完合关掉tomcat进程的解决方法

tomcat shutdown.sh不能完合关掉tomcat进程的解决方法 2017年06月30日 17:18:16 redlevin 阅读数:5311 标签: tomcatjava 1、在tomcat/bin/shutdown.sh文件中增加一个参数 原来的 exec...

linjin200
13分钟前
0
0
动态代理

//业务类接口public interface ICar { String getName();} //业务类实现public class CarImpl implements ICar { @Override public String getName() { S......

stocket
23分钟前
0
0
dubbo架构相关知识学习

dubbo架构分为十层: Service:接口层,提供服务端以及客户端实现,类ServiceBean和ReferenceBean Config:配置层,ServiceConfig和ReferenceConfig,从dubbo.xsd中属性依赖如下,我们可以看出s...

zzx10
23分钟前
0
0
devops平台搭建

一份可以同时满足传统与互联网业务的Dev平台攻略

miaojiangmin
24分钟前
0
0
windows server 2019添加开机启动项

windows server 2012以上的版本(2016,2019)在开始菜单中找不到“启动”,如果写了个bat批处理文件,如何能开机启动呢?可以打开文件资源管理器,把下面的位置粘贴到地址栏后回车。将bat文...

gugudu
24分钟前
0
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部