上個(gè)月在Linux安全峰會上的演講，介紹了LXD在容器安全方便存在的問題。LXD是Canonical基于Linux容器（LXC）開發(fā)的容器管理程序。Stéphane Graber和Tycho Andersen的議題討論了一些問題的細(xì)節(jié)。

\\

LXD不是一種新的虛擬化技術(shù)，而是一個(gè)利用LXC特性的工具。LXC使用由內(nèi)核提供的名字空間（namespace）和控制組（control groups, cgroups）特性來實(shí)現(xiàn)。因此，它使用名字空間API提供的安全功能。

\\

LXD中廣泛使用了cgroups來實(shí)施資源配額，對容器的CPU、內(nèi)存交換、磁盤和網(wǎng)絡(luò)流量進(jìn)行限制。這也使得任何因?yàn)楣蚕韮?nèi)核資源引起的問題，會影響到所有運(yùn)行中的容器。其中一個(gè)示例是用于追蹤文件系統(tǒng)變動的inotify句柄。該資源的全局限制是每個(gè)用戶512個(gè)，這意味著主機(jī)上所有運(yùn)行的容器最多能使用512個(gè)句柄。這對于像systemd這樣的應(yīng)用程序來說是遠(yuǎn)遠(yuǎn)不夠的。當(dāng)systemd因?yàn)閕notify句柄不足退而使用輪訓(xùn)文件系統(tǒng)時(shí)，對系統(tǒng)影響會更大。其他類似的資源還包括網(wǎng)絡(luò)表（例如用于保存路由項(xiàng)）和ulimit。

\\

對于上述問題中的一部分，建議的解決方案是虛擬化存在限制的環(huán)境，例如將限制綁定到名字空間，使其成為容器的局部屬性。然而，對于類似ulimit這樣的屬性，目前還不完全清楚哪個(gè)名字空間比較適合。

\\

LXD以root特權(quán)的守護(hù)進(jìn)程運(yùn)行，這意味它比LXC擁有更多的特權(quán)。LXD確實(shí)從其容器中移除了一些功能，例如加載/卸載內(nèi)核模塊，但是保留了大部分功能，因?yàn)樗鼰o法提前預(yù)知容器中運(yùn)行的應(yīng)用程序需要哪些功能。

\\

Linux安全模塊（Linux Security Modules, LSM）是一個(gè)Linux框架，它允許插入一個(gè)安全模塊的實(shí)現(xiàn)，在不依賴特定模型的情況下來執(zhí)行訪問控制。LSM的實(shí)現(xiàn)有AppArmor和SELinux。LXC同時(shí)支持AppArmor和SELinux，而LXD目前只支持AppArmor。LXD容器的首選隔離方案是名字空間，但是也安裝了一個(gè)AppArmor配置文件以避免跨容器訪問資源（例如文件）。

\\

演講的第二部分覆蓋了容器的檢查點(diǎn)和恢復(fù)功能。檢查點(diǎn)和恢復(fù)進(jìn)程保存運(yùn)行中的容器內(nèi)存狀態(tài)，并允許在將來的某個(gè)時(shí)間點(diǎn)恢復(fù)回來。檢查點(diǎn)/恢復(fù)功能的技術(shù)涉及到通過類似ptrace系統(tǒng)調(diào)用來深入獲取進(jìn)程的狀態(tài)。然而，類似seccomp這樣的安全措施可能會阻止類似的系統(tǒng)調(diào)用，因此檢查點(diǎn)功能需要特別的處理。

\\

查看英文原文：Security Insights into the LXD Container Hypervisor

總結(jié)

以上是生活随笔為你收集整理的从安全视角来看LXD容器管理程序的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。