Docker + firewall

Доброго времени суток. Только разбираюсь в настройках сервера centos на базе линукс. Подскажите можно ли реализовать следующую идею: 1) для обеспечения безопасности создаем виртуальное пространство с помощью Docker в нем разворачиваем mysql php nginx для запуска сайта.

2) Верно ли я понимаю, что если хакер «проникнет» в это пространство допустим через уязвимости php «запуск команд через спец функции php» и т.п. он сможет навредить лишь в рамках виртуальной области?

3) Возможно и нужно ли ограничить набор линукс процессов в этой области или с ней связаны лишь php nginx mysql?

4) Есть возможность установить доступ к 80 порту лишь развернутой виртуальной области? Допустим через firewalld/iptabless? т.е. весь http/https трафик сразу направлять на вирт область без «общения» с основными процессами на линуксе?

p.s. надеюсь я понятно доношу свои мысли, извиняюсь если спрашиваю чушь лишь 3 день изучаю ОС

field_vote: 
Пока без оценки

> Верно ли я понимаю, что если хакер «проникнет» в это пространство допустим через уязвимости php «запуск команд через спец функции php» и т.п. он сможет навредить лишь в рамках виртуальной области?

В настоящий момент скорее "нет", чем "да". К сожалению, возможности и стабильность cgroups пока... ну... я бы не рискнул использовать их в продакшене.

Лучше присмотреться к классической виртуализации.

> Возможно и нужно ли ограничить набор линукс процессов в этой области или с ней связаны лишь php nginx mysql?

Незачем это делать. Ваша модель безопасности, как я понял — создать "условно-уязвимую" песочницу с достаточно высокими стенами, чтобы атакующий из нее не вылез. В этом случае "внутри" песочницы крайне желательно использовать все "традиционные" методы обеспечения безопасности (chroot, etckeeper, fail2ban, НЕ ЗАБУДЬ АВТООБНОВЛЕНИЯ ВКЛЮЧИТЬ СЛЫШ, "запускай все от разных юзеров", "используй понижение привилегий", и т.п., насчёт selinux в докере не в курсе, но почему бы и нет, ну и так далее), но на "высоту стен" это не влияет.

> Есть возможность установить доступ к 80 порту лишь развернутой виртуальной области? Допустим через firewalld/iptabless? т.е. весь http/https трафик сразу направлять на вирт область без «общения» с основными процессами на линуксе?

Да, это делается ровно через iptables. Либо через проксирующий nginx на "основной" среде — зависит от конкретных задач.

Да какая разница, скоро НГ, бро!;) Апельсинам, девки и бухло...

Докер — это удобная упаковка сервисов. Для обеспечения безопасности предназначены другие инструменты.

Докер делается в том числе и ради изоляции (точнее, lxc, но это неважно), поэтому пробовать его использовать именно для таких задач — как делает автор треда — вполне правомочная затея. И думаю, что еще через годик-другой его (точнее cgroups) таки допилят до production-ready состояния.

МЕГАСТО

Комментировать

Filtered HTML

  • Use [fn]...[/fn] (or <fn>...</fn>) to insert automatically numbered footnotes.
  • Доступны HTML теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote> <strike> <code> <h2> <h3> <h4> <h5> <del> <img>
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.