文档章节

Docker用以提高Linux内核安全性的三大热点技术

暖夏未眠丶
 暖夏未眠丶
发布于 2017/06/20 14:55
字数 1668
阅读 9
收藏 0
点赞 0
评论 0

摘要: Ghostcloud(中文名:精灵云)是成都精灵云科技有限公司旗下的基于Docker的PaaS/CaaS平台品牌。公司成立于2015年,核心团队由来自EMC、Veritas、华为、IBM、Microsoft的核心技术主管和架构师组成。

关于译者Ghostcloud
Ghostcloud(中文名:精灵云)是成都精灵云科技有限公司旗下的基于Docker的PaaS/CaaS平台品牌。公司成立于2015年,核心团队由来自EMC、Veritas、华为、IBM、Microsoft的核心技术主管和架构师组成。精灵云作为国内首批从事容器虚拟化研发的企业,为企业级行业客户提供针对互联网化、私有云管理平台、大数据业务基础架构的平台服务,在国内Docker社区贡献排名前三。主创团队曾参与Beego开源项目研发,并主导发布《Docker容器实战:原理、架构与应用》一书。Ghostcloud因容器技术而生,致力于为多个领域的“互联网+”转型企业提供服务,是一流的企业级容器云服务专家。

前言

LinuxKit项目目前正在孵化几种用以提高Linux安全性的技术,包括Wireguard VPN和Landlock。

今年4月18日,Docker正式对外发布一款开源工具包LinuxKit,用以构建容器优化的Linux发行版。目前,Docker想通过在其LinuxKit社区中孵出几个新生的Linux安全项目来提高Linux内核安全性。
1

Docker用以提高Linux内核安全性的三大热点技术

对Docker公司来说,Docker的安全性至关重要,而LinuxKit在成功提升Docker的安全性上必将是十分具有代表性的。据悉,LinuxKit项目也确实如预期那样孵化出一些专门用于提高Linux安全性的项目。而Docker和LinuxKit项目的主要职责是确保所有的Linux内核安全工作能向上游移动到Linux内核的主线工作中去。
2

Docker用以提高Linux内核安全性的三大热点技术

不仅如此,Docker方面还希望那些在Linux社区中为提升安全性做出贡献的人可以在LinuxKit项目中获得更多的成就感。

现在,我们就一起来看看LinuxKit项目都孵化了哪些提升Linux安全性的技术。

Wireguard

开源Wireguard VPN来自LinuxKit社区,适用于Linux系统。Wireguard 是一类新型VPN,且采用了加密技术。这种加密技术常用于安全消息应用程序,比如WhatsApp应用程序使用的是Noise Protocol技术框架,而这个技术框架同时也是Wireguard VPN的核心技术框架。可见Wireguard带给Linux的是一种非常轻量级和安全的VPN技术。
3

Docker用以提高Linux内核安全性的三大热点技术

有趣地是,根据Docker方面透露,Wireguard可以挂载到网络命名空间中去,并实现容器到容器的加密通信。

KSPP

内核自我保护项目(Kernel Self Protection Project,以下简称“KSPP”)是由来自Google的一名开发者Kees Cook于2016年推出的。项目一经推出,KSPP便作为向Linux内核提供多层安全性保障的一种方式,且在KSPP工作的许多领域中都有帮助缓解内存损失风险的保护措施。
4

Docker用以提高Linux内核安全性的三大热点技术

Docker公司认为KSPP是改进Linux安全性和LinuxKit项目的重要工具,因此,几名来自Docker的全职员工目前也在为KSPP服务并为KSPP项目做出贡献。

Landlock

Linux内核主线中有一些Linux安全模块(LSM)为Linux中运行的进程提供访问控制策略,其中最为熟知的两个LSM是SELinux和AppArmor。 SELinux最初由美国国家安全局(NSA)开发,如今是基于Red Hat的Linux发行版的核心部分。

LinuxKit项目孵化出了一款新的LSM——Landlock。Landlock利用扩展的伯克利数据包过滤器(eBPF)将小程序挂载到Linux内核。
5

Docker用以提高Linux内核安全性的三大热点技术

据Docker公司方面透露,当这些eBPF程序集成LSM后,可为上下游提供非常强大的决策环境。因而,Landlock加入到LinuxKit将对基于容器的环境非常有利。“

举例来看,Landlock可写入限制容器访问不属于容器本身的文件描述符的策略,这被当做是限制容器转义的最后一道防线。因此,Landlock对Docker容器的使用者来说其实是有益无害的。

另外,Landlock中用以保护容器部署的规则提非常灵活。因为现有的LSM并不总是易于系统管理员进行配置,所以,我们期待Landlock在使用上可以更简化易上手。

结语

如今,容器安全技术的市场在不断增长,市场上存在多家供应商,包括Twistlock,Anchore,Aqua Security,NeuVector,Aporeto,Tenable和Capsule8等在内的厂商都在研发相关的产品。由于LinuxKit的出现,Docker将有望为容器安全领域提供核心支持。

我们希望Docker作为平台提供商,能尽可能地解决基础安全问题,并为应用程序创建一个安全的基础环境,以更好的发挥平台上的各项功能。

推荐阅读:
在Hadoop上运行Docker容器的六大陷阱
【译闻】容器的管理,也是一门艺术
Docker容器云在金融行业的应用

原文链接:

http://www.eweek.com/security/docker-aims-to-improve-linux-kernel-security-with-linuxkit

关于译者Ghostcloud
Ghostcloud(中文名:精灵云)是成都精灵云科技有限公司旗下的基于Docker的PaaS/CaaS平台品牌。公司成立于2015年,核心团队由来自EMC、Veritas、华为、IBM、Microsoft的核心技术主管和架构师组成。精灵云作为国内首批从事容器虚拟化研发的企业,为企业级行业客户提供针对互联网化、私有云管理平台、大数据业务基础架构的平台服务,在国内Docker社区贡献排名前三。主创团队曾参与Beego开源项目研发,并主导发布《Docker容器实战:原理、架构与应用》一书。Ghostcloud因容器技术而生,致力于为多个领域的“互联网+”转型企业提供服务,是一流的企业级容器云服务专家。

用云栖社区APP,舒服~

原文链接

本文转载自:

共有 人打赏支持
暖夏未眠丶
粉丝 0
博文 250
码字总数 427
作品 0
太原
谷歌黑科技:gVisor轻量级容器运行时沙箱

谷歌发布了一种新型沙箱gVisor,可以用于为资源占用较少、不需要运行完整VM的容器提供安全隔离。gVisor的核心是一个使用Go编写的开源用户空间内核,与现有的容器技术相比,其设计做了不同的权...

六库科技
05/29
0
0
官方简要解读 LinuxKit 工具包

LinuxKit 是什么? LinuxKit所包含的工具可以允许用户构建自定义的Linux子系统。所有的系统服务都是可以替换的容器,并且用户可以移除所有不需要的东西。这是一款非常符合Docker设计理念的工...

木环
01/07
0
0
gVisor:Google开源的新型沙箱容器运行时环境

容器技术彻底改变了我们对应用程序进行开发、打包与部署的具体方式。然而,系统在与容器对接时仍会暴露出大量攻击面,因此相当一部分安全专家不建议在容器当中运行不受信任或潜在的恶意应用程...

Docker
05/03
0
0
深入分析Docker镜像原理(上)

第一部分:Docker镜像的基本知识 1.1 什么是Docker镜像 从整体的角度来讲,一个完整的Docker镜像可以支撑一个Docker容器的运行,在 Docker容器运行过程中主要提供文件系统视角。例如一个ubu...

苏宁公有云
2015/08/24
0
0
在Docker容器中部署Spring Boot应用

Docker是开发者的开放平台,它是一个机制,通过将每个应用程序打包到容器中来隔离依赖关系。容器是可扩展的,可更安全的使用和部署。Docker容器能够共享一个内核并共享应用程序库,因此容器比...

RaiseHead
05/30
0
0
什么是Docker

docker中文 docker手册 docker教程 程序猿,千万别说你不了解Docker! 2015-12-21 13:52:00 作者: 先知 放在两年前,你不认识Docker情有可原。但如果现在你还这么说,不好意思,我只能说你O...

木云凌
2016/07/04
48
0
程序猿,千万别说你不了解Docker!

放在两年前,你不认识Docker情有可原。但如果现在你还这么说,不好意思,我只能说你OUT了。你最好马上get起来,因为有可能你们公司很快就会引入Docker。 今天就和大家讨论讨论这个备受好评的...

山海经
2016/11/26
34
0
跟我一起学docker(一)--认识

最近开始自学docker,决定把自己的学习进度分享给大家,每天一篇希望能帮助docker的初学者。大家积极留言哦,输出决定输入!预计20次完成docker的讲解。 1.什么是docker Docker 是一个开源项...

IT人故事
04/23
0
0
你应当了解的 Docker 底层技术

本文已获得原作者 七把刀_授权。 Docker 容器技术已经发展了好些年,在很多项目都有应用,线上运行也很稳定。整理了部分 Docker 的学习笔记以及新版本特性,对Docker 感兴趣的同学可以看看,...

掘金官方
07/06
0
0
主流嵌入式Linux动态扩展技术比较分析

随着嵌入式技术的快速发展和嵌入式设备的普及,嵌入式应用发展的一个关键趋势是从静态的、固定的系统功能到动态的、可扩展的系统功能。 本文主要进行嵌入式Linux系统内核动态扩展技术的讨论。...

jtihj
2009/12/19
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

rabbitmq学习记录(三)

工作队列:一个生产者,多个消费者,生产者直接将消息发送到rabbitmq的队列之中 默认采用的是轮询分配:即不管消费者处理信息的效率,队列给所有消费者轮流发送一条信息,直至消息发送完毕 ...

人觉非常君
19分钟前
0
0
Java 之 反射

反射,剖析 Java类 中的 各个组成部分,映射成 一个个 Java对象,多用于 框架和组件,写出复用性高的通用程序。 测试类代码如下: class Person { private String name; public St...

绝世武神
23分钟前
0
0
华为nova3超级慢动作酷玩抖音,没有办法我就是这么强大

华为nova3超级慢动作酷玩抖音,没有办法我就是这么强大!华为nova3超级慢动作酷玩抖音,没有办法我就是这么强大! 在华为最新发布的nova 3手机上,抖音通过华为himedia SDK集成了60fps、超级...

华为终端开放实验室
28分钟前
0
0
多 SSH Key 实现同一台服务器部署多 Git 仓库

本文以以下需求为背景,介绍详细的做法: 需在同一台服务器同时部署两个不同的 Github 仓库(对 Bitbucket 等 git 服务同样适用) root 用户可在远程登录 SSH 后附上预期的 SSH Key 进行 gi...

yeahlife
31分钟前
0
0
003. es6数值的扩展

一、普通扩展 Number 方法,将字符串、数值转为十进制 : Number('0b111') Number.isFinite() 用来检查一个数值是否为有限的:Number.isFinite(15) Number.isNan() 用来检查一个值是否为NaN N...

秋季长青
45分钟前
0
0
C语言数组和指针的语法糖

对于C语言,我可以这样秀:比如当创建一个数组arr[n]之后,一般我们去遍历数组的时候是for (int i = 0; i < n; i++) { a[i]; }但是我知道下表访问符[]是个语法糖,也就是说a[i]在编译器看来是...

ustbgaofan
53分钟前
0
0
Call to undefined function bcmath()的解决方法

乐意黎的ECS主机环境,Centos7.2 + PHP7 由于使用了bcdiv()函数,运行时总在抛错。 Fatal error: Call to undefined function bcmath() in /usr/loca/apache/htdocs/... on line 4 一查得知:......

dragon_tech
59分钟前
0
0
css优先级

..

architect刘源源
今天
0
0
【转】Twitter的分布式自增ID算法snowflake

结构 snowflake的结构如下(每部分用-分开): 0 - 0000000000 0000000000 0000000000 0000000000 0 - 00000 - 00000 - 000000000000 第一位为未使用,接下来的41位为毫秒级时间(41位的长度可以...

talen
今天
0
0
hive支持行级修改

Hive从0.14版本开始支持事务和行级更新,但缺省是不支持的,需要一些附加的配置。要想支持行级insert、update、delete,需要配置Hive支持事务。 一、Hive具有ACID语义事务的使用场景 1. 流式...

hblt-j
今天
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部