Docker + firewall

Не в сети
Регистрация: 26 Дек 2017

Доброго времени суток. Только разбираюсь в настройках сервера centos на базе линукс. Подскажите можно ли реализовать следующую идею: 1) для обеспечения безопасности создаем виртуальное пространство с помощью Docker в нем разворачиваем mysql php nginx для запуска сайта.

2) Верно ли я понимаю, что если хакер «проникнет» в это пространство допустим через уязвимости php «запуск команд через спец функции php» и т.п. он сможет навредить лишь в рамках виртуальной области?

3) Возможно и нужно ли ограничить набор линукс процессов в этой области или с ней связаны лишь php nginx mysql?

4) Есть возможность установить доступ к 80 порту лишь развернутой виртуальной области? Допустим через firewalld/iptabless? т.е. весь http/https трафик сразу направлять на вирт область без «общения» с основными процессами на линуксе?

p.s. надеюсь я понятно доношу свои мысли, извиняюсь если спрашиваю чушь лишь 3 день изучаю ОС

Пока без оценки
Не в сети
Регистрация: 9 Мар 2017

> Верно ли я понимаю, что если хакер «проникнет» в это пространство допустим через уязвимости php «запуск команд через спец функции php» и т.п. он сможет навредить лишь в рамках виртуальной области?

В настоящий момент скорее "нет", чем "да". К сожалению, возможности и стабильность cgroups пока... ну... я бы не рискнул использовать их в продакшене.

Лучше присмотреться к классической виртуализации.

> Возможно и нужно ли ограничить набор линукс процессов в этой области или с ней связаны лишь php nginx mysql?

Незачем это делать. Ваша модель безопасности, как я понял — создать "условно-уязвимую" песочницу с достаточно высокими стенами, чтобы атакующий из нее не вылез. В этом случае "внутри" песочницы крайне желательно использовать все "традиционные" методы обеспечения безопасности (chroot, etckeeper, fail2ban, НЕ ЗАБУДЬ АВТООБНОВЛЕНИЯ ВКЛЮЧИТЬ СЛЫШ, "запускай все от разных юзеров", "используй понижение привилегий", и т.п., насчёт selinux в докере не в курсе, но почему бы и нет, ну и так далее), но на "высоту стен" это не влияет.

> Есть возможность установить доступ к 80 порту лишь развернутой виртуальной области? Допустим через firewalld/iptabless? т.е. весь http/https трафик сразу направлять на вирт область без «общения» с основными процессами на линуксе?

Да, это делается ровно через iptables. Либо через проксирующий nginx на "основной" среде — зависит от конкретных задач.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
Texnoline аватар
Не в сети
Регистрация: 21 Фев 2013

Да какая разница, скоро НГ, бро!;) Апельсинам, девки и бухло...

Ваша оценка: Нет
pomodor аватар
Не в сети
Регистрация: 4 Мар 2008

Докер — это удобная упаковка сервисов. Для обеспечения безопасности предназначены другие инструменты.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
Не в сети
Регистрация: 9 Мар 2017

Докер делается в том числе и ради изоляции (точнее, lxc, но это неважно), поэтому пробовать его использовать именно для таких задач — как делает автор треда — вполне правомочная затея. И думаю, что еще через годик-другой его (точнее cgroups) таки допилят до production-ready состояния.

Ваша оценка: Нет
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.