在弄清楚如何管理项目的 python 环境时,我正在考虑使用 Docker容器。我开始了解 Debian wiki警告, 喜欢其他在线资源,关于 Docker 群体的风险。但我不太确定:
安装 Docker 后创建 Docker 组的可能性本身是否会带来风险?
换句话说,如果我不创建一个组,或者将自己添加到一个组中(注意:我是唯一的用户),那么按照他们的博客的建议安装 Docker 并使用它来管理环境是否存在风险?
但是,在同一环境中进行多个项目很快就会成为一个问题,因为我们可能会遇到配置或依赖项冲突。此外,当与队友共享项目时,我们还需要协调我们的环境。为此,我们必须以一种易于共享的方式定义我们的项目环境。
一个好方法是为每个项目创建独立的开发环境。通过使用容器和 Docker Compose 来管理它们,可以轻松完成此操作。
编辑:哎呀,我刚刚发现我可能重复了docker 是否安装了巨大的安全漏洞?
答案1
风险附加于有用户组中,因为此类用户提供了一条简单的 root 路径,无需进一步的访问控制。还有其他这样的Debian 系统上的群组例如disks,因此安装 Docker 并创建docker组本身并不会增加风险。如果您不将用户添加到此类组中,则没关系,因为无论如何将用户添加到组中都是特权操作(因此,如果攻击者可以这样做,那么您就已经失败了)。
运行特权守护进程还存在一定的风险。您还可以研究其他根本不涉及运行特权 Docker 守护进程的解决方案;例如波德曼,或者因为您正在专门针对 Python 项目研究此问题,Python 虚拟环境。
答案2
在我看来,容器系统/服务(例如 Docker 或 LXD/LXC)或云服务(例如 Amazon Elastic Container Service (EC2)、Amazon Elastic Container Service for Kubernetes、Microsoft Azure Kubernetes Service 和 Google Kubernetes Engine (GKE))是最佳解决方案对于一般的软件开发来说,因为您可以将所有部分划分为微服务,分别测试、使用和共享它们,并使用巧妙的策略来摆脱单一系统。
容器系统是开发软件的最佳选择,因为我可以快速轻松地设置和启动某些开发环境或系统,测试和尝试它们,并且比虚拟机或整体系统更好地使用和管理资源。
在我看来,我应该至少有3个独立的软件项目系统,例如我的开发环境,我的测试环境和我的生产环境,如果它们在物理上和逻辑上是独立的那就最好了(现在对于非常小的项目来说没有意义)项目在物理上和逻辑上完全分开)。
没有什么是安全的,不仅 docker 的配置在这里起作用,而且整个系统本身的配置也起作用。
我的操作系统是如何配置的,上面运行着哪些其他软件,我的网络与防火墙是如何设置的,我如何共享和使用我的组和数据等。
您会发现,您无法用一个答案来回答所有这些问题,并且需要考虑很多因素
无论如何,工作并熟悉像 docker 这样的容器服务对你来说是一种收获
安装 Docker 本身并没有固有的风险,了解与创建 Docker 组相关的潜在风险非常重要。
Docker 组允许用户在没有 root 权限的情况下运行 Docker 容器,这既方便又可以提高安全性。
如果管理不当,Docker 组还可能会产生安全漏洞,或者如果在没有适当身份验证和授权的情况下将用户添加到组中,则该用户可能能够运行任意 Docker 容器,从而可能导致数据泄露、恶意软件感染和其他问题安全事件。
确保以安全的方式创建和管理 Docker 组,例如:
- 限制有权访问 Docker 组的用户数量
- 添加到 Docker 组的用户经过正确的身份验证和授权
- 监控 Docker 容器活动以检测和防止未经授权的访问和恶意活动
- 让 Docker 保持最新的安全补丁和更新
- 交通不受限制
- 默认情况下,某些版本的 Docker 允许同一主机上的所有网络流量
- 易受攻击和恶意的容器镜像
- 不受限制的访问
- 主机内核存在漏洞
- 集装箱突破
单独创建 docker 组并不意味着存在安全风险(这正是您一直在问的问题)。但是将用户添加到该组可能会增加您的攻击面(这可能是您想问的)。实际的安全风险取决于您的威胁模型。
https://security.stackexchange.com/questions/178542/is-adding-docker-group-not-a-good-idea