Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Matthew Garrett: Linux-Container müssen noch sicherer werden

Container-Technologien unter Linux , vor allem das populäre Docker , müssen sicherer werden, meint Kernel-Hacker Matthew Garrett. Dazu brauche es aggressivere Tests und eine starke Code-Überprüfung.
/ Sebastian Grüner
1 Kommentare News folgen (öffnet im neuen Fenster)
Docker ist das wohl bekannteste Beispiel für den Einsatz von Linux-Containern. (Bild: Docker)
Docker ist das wohl bekannteste Beispiel für den Einsatz von Linux-Containern. Bild: Docker

Technologien wie Docker, die auf Linux-Containern aufbauen, bieten einen größeren Angriffsvektor als etwa mit Hypervisoren virtualisierte Systeme, schreibt der Kernel-Hacker Matthew Garret in seinem Blog(öffnet im neuen Fenster) . Das liege schlicht daran, dass die Menge an Code, der mit vollen Rechten läuft und für weniger vertrauenswürdige Anwendungen bereitsteht, in Container-Umgebungen größer sei als in Hypervisor-Umgebungen. Das führe zwar nicht zwingend zu verringerter Sicherheit von Containern im Vergleich zu Hypervisoren, dennoch müsse die Sicherheit der Container-Umgebungen erhöht werden, so Garrett.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Mitarbeiter/-in im IT-Support & Helpdesk (m/w/d) - CIT2025-41 Technische Universität München, München (öffnet im neuen Fenster)
Professur für Entrepreneurship und Innovationsmanagement Hochschule Schmalkalden, Schmalkalden (öffnet im neuen Fenster)
Duales Studium BWL (m/w/d) - Start 2026 Hannoversche Informationstechnologien AöR (hannIT), Hannover (öffnet im neuen Fenster)
Software Developer (m/w/d) Embedded Systems (C++, Linux) Wirtgen GmbH, (öffnet im neuen Fenster)
Mitarbeiter:in (m/w/d) IT/Netzwerkinfrastruktur - Fernwärme Elektrizitätswerk Mittelbaden AG & Co. KG, Offenburg (öffnet im neuen Fenster)
Softwareentwickler (m/w/d) Uniface Abrechnungszentrum Emmendingen, Emmendingen (öffnet im neuen Fenster)
Junior Consultant Operations (m/w/d) quo connect management consulting GmbH'', Berlin (öffnet im neuen Fenster)
Software Developer Embedded Systems (m/w/d) - Precision Roadbuilding und Guidance Solutions Wirtgen GmbH, (öffnet im neuen Fenster)

Dabei sollte es nicht darum gehen, Container so sicher zu machen wie Hypervisoren, da dies wohl nie erreicht werden könne. Vielmehr sollte daran gearbeitet werden, die Sicherheit der Container-Umgebungen so sehr wie möglich an die der Hypervisoren anzunähern, so dass der Unterschied praktisch keine Rolle mehr spiele. So weit sei die Technik aber noch nicht.

Zwar könnten sehr strenge Seccomp-Richtlinien und enge Beschränkungen für den Zugriff auf /proc, /sys und /dev dabei helfen, Probleme zu beheben, aber eben nicht alle verhindern. Deshalb müssten Firmen, die Container-basierte Produkte verkaufen, ihren bisherigen " Mangel an Beiträgen " überwinden, fordert Garrett.

Sinnvolle Arbeiten dazu seien etwa ein sehr " starkes Audit des Codes und aggressives Fuzzing der Container in realistischen Konfigurationen ". Zudem müssten diese ein " sinnvolles Verschachteln der Linux-Sicherheits-Module in Namensräumen " unterstützen und eine " Selbstprüfung der Container und des Host-Betriebssystems " vornehmen, um eventuelle Gefährdungsmöglichkeiten festzustellen. Das seien zwar keine einfachen Aufgaben, sie seien aber dennoch sehr wichtig.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Bis sich die von Garrett angesprochenen Dinge verbesserten, bleibe zur Beschreibung von Containern jedoch nur die Wahl aus zwei der drei folgenden Eigenschaften: "bequem, günstig, sicher". Ein Überblick darüber, wie die Sicherheit aktuell eingesetzter Container erhöht werden kann, bietet eine Präsentation(öffnet im neuen Fenster) des Docker-Mitarbeiters Jérôme Petazzoni.

Zur Startseite 1 Kommentare

Relevante Themen

Open SourceLinuxSoftwareBetriebssystemeWissenContainerMatthew GarrettDocker