推进 Docker 安全:Docker 1.4.0 和 1.3.3 发布
jopen 9年前
【编者的话】Docker 1.4如期而至,正如DockerCon上Solomon所说,该版本主要集中在Bug修复以及平台稳定性和安全性上。Docker官方新闻详细描述了该版本的改进信息,本文是DockerOne对官方新闻的翻译。
我们非常高兴的宣布在今天发布 Docker Engine 1.4。它有什么特性呢?正如上周 Solomon Hykes 在 DockerCon Europe 描述的那样,这个版本主要集中在Bug 修复和平台稳定性上,且超过 180 个Bug修复提交被合并!Docker 1.4 也添加了 Overlay Filesystem,作为一个新的试验性的存储引擎。(请看发行说明和 bump 分支)。
今天,我们同时发行了 Docker Engine 1.3.3,修复了 3 个Bug(请看报告)。当然在版本 1.4.0 中也包含这些改进。这里是关于这些Bug的详细信息:
- 在 2014 年 11 月 24 日,我们发行了 Docker 1.3.2 来修复这些严重的问题(issues ),恶意的镜像可以利用该问题来突破 Docker 容器。请看我们的安全公告获取更多信息。
- 在发行 1.3.2 之后,我们发现额外的Bug能被恶意的 Dockerfile、镜像、registry利用来攻陷主机,或者是假冒官方镜像。
- Docker Engine 1.3.3 和 Docker Engine 1.4将会修复以上Bug。所有的用户建议升级到 Docker Engine 1.3.3 或更高的版本。请看升级说明文档。
- 请注意这些缺陷仅仅影响那些下载和运行了恶意镜像,或者是从恶意 Dockerfiles 构建的镜像的用户。用户可以通过仅仅从受信任的源下载、构建、运行镜像来免遭恶意内容的伤害。另外,我们建议你:
- 使用 AppArmor 和 SELinux 来运行 Docker Engine 来提供额外的隔离
- 映射相互信任的容器组来隔离机器和 VMs。
推进 Docker 安全
下面是我们的安全公告和随后的 Docker Engine 1.3.3 发行版。我想分享一些我们关于安全的想法和计划。对于 Docker 来说,安全是非常重要的,直接体现就是:
- 当确定漏洞时,努力迅速解决。
- 我们的用户和他们的应用通过我们的发展蓝图来加强平台安全。
- 与我们的贡献者和生态系统合作伙伴合作来定义一系列关于 Docker 安全的最佳实践
具体地说,我们努力专注于以下事情:
- 产品和生态系统。 Docker Engine可以充分利用OS的安全策略以及隔离特性。在 Linux 的 namespaces、capabilities和基于 libcontainer 或 lxc 实现的 cgroups 支持下,这是可插拔式的。在将来,我们会给第三方的执行引擎插件更多的机会,希望它们可以为用户提供更加细粒度服务。在系统级别的支持下,Docker 已经合并集成了 SELinux 和 AppArmor。Red Hat、Canonical以及其它公司都在帮助我们提高容器的安全性。从 1.3 版本开始,我们已经在 Docker Hub 的官放仓库中添加了签名的 Docker 镜像,这只是我们规划的安全链上的第一步。你可以在这详细阅读我们的信任制度建议并鼓励你添加改进。
- 安全审计、报告和响应。 我们会做自己的安全测试,同时让一个私人安全公司来审计和执行渗透测试。Issues 也被我们的活跃用户和开发者社区接收。所有的问题报告都会被迅速分类,严重的 issues 会启动一个 immediate 响应。我们的目标是快速并安全的修复在用户手中的当前稳定版本。修复,一旦准备好,会开始发送一个早期的公开通知列表来 review 和为供应商准备提前公开。这个列表包含 Linux 发行版和云服务商。我们继续开发和更新我们的实践,当我们学习到更多。
- 公开透明。我们践行有责任的披露。在不影响用户的前提下,在不影响用户的前提下,我们披露Docker的安全问题并及时提供相应的安全更新。
随着我们的发展,我们将持续在我们的安全团队、贡献、工具和流程上投入。该投入将使得 Docker 更安全,帮助它成为我们安全可信的伙伴。
来自:http://dockerone.com/article/45