Docker用以提高Linux内核安全性的三大热点技术

内容简介：Docker用以提高Linux内核安全性的三大热点技术

关于译者Ghostcloud

Ghostcloud（中文名：精灵云）是成都精灵云科技有限公司旗下的基于 Docker 的PaaS/CaaS平台品牌。公司成立于2015年，核心团队由来自EMC、Veritas、华为、IBM、Microsoft的核心技术主管和架构师组成。精灵云作为国内首批从事容器虚拟化研发的企业，为企业级行业客户提供针对互联网化、私有云管理平台、大数据业务基础架构的平台服务，在国内Docker社区贡献排名前三。主创团队曾参与Beego开源项目研发，并主导发布《Docker容器实战：原理、架构与应用》一书。Ghostcloud因容器技术而生，致力于为多个领域的“互联网+”转型企业提供服务，是一流的企业级容器云服务专家。

前言

LinuxKit项目目前正在孵化几种用以提高 Linux 安全性的技术，包括Wireguard VPN和Landlock。

今年4月18日，Docker正式对外发布一款开源 工具 包LinuxKit，用以构建容器优化的Linux发行版。目前，Docker想通过在其LinuxKit社区中孵出几个新生的Linux安全项目来提高Linux内核安全性。

对Docker公司来说，Docker的安全性至关重要，而LinuxKit在成功提升Docker的安全性上必将是十分具有代表性的。据悉，LinuxKit项目也确实如预期那样孵化出一些专门用于提高Linux安全性的项目。而Docker和LinuxKit项目的主要职责是确保所有的Linux内核安全工作能向上游移动到Linux内核的主线工作中去。

不仅如此，Docker方面还希望那些在Linux社区中为提升安全性做出贡献的人可以在LinuxKit项目中获得更多的成就感。

现在，我们就一起来看看LinuxKit项目都孵化了哪些提升Linux安全性的技术。

Wireguard

开源Wireguard VPN来自LinuxKit社区，适用于Linux系统。Wireguard 是一类新型VPN，且采用了加密技术。这种加密技术常用于安全消息应用程序，比如WhatsApp应用程序使用的是Noise Protocol技术框架，而这个技术框架同时也是Wireguard VPN的核心技术框架。可见Wireguard带给Linux的是一种非常轻量级和安全的VPN技术。

有趣地是，根据Docker方面透露，Wireguard可以挂载到网络命名空间中去，并实现容器到容器的加密通信。

KSPP

内核自我保护项目（Kernel Self Protection Project，以下简称“KSPP”）是由来自Google的一名开发者Kees Cook于2016年推出的。项目一经推出，KSPP便作为向Linux内核提供多层安全性保障的一种方式，且在KSPP工作的许多领域中都有帮助缓解内存损失风险的保护措施。

Docker公司认为KSPP是改进Linux安全性和LinuxKit项目的重要工具，因此，几名来自Docker的全职员工目前也在为KSPP服务并为KSPP项目做出贡献。

Landlock

Linux内核主线中有一些Linux安全模块（LSM）为Linux中运行的进程提供访问控制策略，其中最为熟知的两个LSM是SELinux和AppArmor。 SELinux最初由美国国家安全局（NSA）开发，如今是基于Red Hat的Linux发行版的核心部分。

LinuxKit项目孵化出了一款新的LSM——Landlock。Landlock利用扩展的伯克利数据包过滤器（eBPF）将小程序挂载到Linux内核。

据Docker公司方面透露，当这些eBPF程序集成LSM后，可为上下游提供非常强大的决策环境。因而，Landlock加入到LinuxKit将对基于容器的环境非常有利。“

举例来看，Landlock可写入限制容器访问不属于容器本身的文件描述符的策略，这被当做是限制容器转义的最后一道防线。因此，Landlock对Docker容器的使用者来说其实是有益无害的。

另外，Landlock中用以保护容器部署的规则提非常灵活。因为现有的LSM并不总是易于系统管理员进行配置，所以，我们期待Landlock在使用上可以更简化易上手。

结语

如今，容器安全技术的市场在不断增长，市场上存在多家供应商，包括Twistlock，Anchore，Aqua Security，NeuVector，Aporeto，Tenable和Capsule8等在内的厂商都在研发相关的产品。由于LinuxKit的出现，Docker将有望为容器安全领域提供核心支持。

我们希望Docker作为平台提供商，能尽可能地解决基础安全问题，并为应用程序创建一个安全的基础环境，以更好的发挥平台上的各项功能。

原文链接：

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

• php – woocommerce自定义结帐字段添加费用以订购ajax
• Uber开源JVM Profiler，用以跟踪分布式Java虚拟机
• 使用以 Tensorflow 为后端的 Keras 构建生成对抗网络的代码示例
• shell-operator的发布用以简化Kubernetes operator的创建
• Micronaut for Spring 支持 Spring Boot 应用以 Micronaut 形式运行
• 内核必须懂(六): 使用kgdb调试内核

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。