• IT-Karriere:
  • Services:

Matthew Garrett: Linux-Container müssen noch sicherer werden

Container-Technologien unter Linux, vor allem das populäre Docker, müssen sicherer werden, meint Kernel-Hacker Matthew Garrett. Dazu brauche es aggressivere Tests und eine starke Code-Überprüfung.

Artikel veröffentlicht am ,
Docker ist das wohl bekannteste Beispiel für den Einsatz von Linux-Containern.
Docker ist das wohl bekannteste Beispiel für den Einsatz von Linux-Containern. (Bild: Docker)

Technologien wie Docker, die auf Linux-Containern aufbauen, bieten einen größeren Angriffsvektor als etwa mit Hypervisoren virtualisierte Systeme, schreibt der Kernel-Hacker Matthew Garret in seinem Blog. Das liege schlicht daran, dass die Menge an Code, der mit vollen Rechten läuft und für weniger vertrauenswürdige Anwendungen bereitsteht, in Container-Umgebungen größer sei als in Hypervisor-Umgebungen. Das führe zwar nicht zwingend zu verringerter Sicherheit von Containern im Vergleich zu Hypervisoren, dennoch müsse die Sicherheit der Container-Umgebungen erhöht werden, so Garrett.

Stellenmarkt
  1. Allianz Deutschland AG, Stuttgart
  2. ING Deutschland, Nürnberg

Dabei sollte es nicht darum gehen, Container so sicher zu machen wie Hypervisoren, da dies wohl nie erreicht werden könne. Vielmehr sollte daran gearbeitet werden, die Sicherheit der Container-Umgebungen so sehr wie möglich an die der Hypervisoren anzunähern, so dass der Unterschied praktisch keine Rolle mehr spiele. So weit sei die Technik aber noch nicht.

Zwar könnten sehr strenge Seccomp-Richtlinien und enge Beschränkungen für den Zugriff auf /proc, /sys und /dev dabei helfen, Probleme zu beheben, aber eben nicht alle verhindern. Deshalb müssten Firmen, die Container-basierte Produkte verkaufen, ihren bisherigen "Mangel an Beiträgen" überwinden, fordert Garrett.

Sinnvolle Arbeiten dazu seien etwa ein sehr "starkes Audit des Codes und aggressives Fuzzing der Container in realistischen Konfigurationen". Zudem müssten diese ein "sinnvolles Verschachteln der Linux-Sicherheits-Module in Namensräumen" unterstützen und eine "Selbstprüfung der Container und des Host-Betriebssystems" vornehmen, um eventuelle Gefährdungsmöglichkeiten festzustellen. Das seien zwar keine einfachen Aufgaben, sie seien aber dennoch sehr wichtig.

Bis sich die von Garrett angesprochenen Dinge verbesserten, bleibe zur Beschreibung von Containern jedoch nur die Wahl aus zwei der drei folgenden Eigenschaften: "bequem, günstig, sicher". Ein Überblick darüber, wie die Sicherheit aktuell eingesetzter Container erhöht werden kann, bietet eine Präsentation des Docker-Mitarbeiters Jérôme Petazzoni.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 274,49€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)
  2. 689€ (mit Rabattcode "PRIMA10" - Bestpreis!)
  3. Apple iPad Air 10,9 Zoll Wi-Fi 64GB für 632,60€, Apple iPad Air 10,9 Zoll Cellular 64GB für 769...

Onsdag 24. Okt 2014

... weiterentwickeln? Somit laufen diese Container auf dem Hostsystem auch nur als...


Folgen Sie uns
       


Einfache Fluid-Simulation in Blender - Tutorial

Wir zeigen im Video, wie man in 15 Minuten eine Flüssigkeit in Blender animiert.

Einfache Fluid-Simulation in Blender - Tutorial Video aufrufen
Bauen: Ein Hochhaus aus Holz für Hamburg
Bauen
Ein Hochhaus aus Holz für Hamburg

Die weltweite Zementherstellung stößt jährlich mehr CO2 aus als der Luftverkehr. Ein nachwachsender Rohstoff soll Bauen umweltfreundlicher machen.
Ein Bericht von Werner Pluta

  1. Transformation Söder will E-Auto-Gutschein beim Kauf von Verbrennern
  2. Kohlendioxidabscheidung Norwegen fördert Klimaschutzprojekt mit 1,5 Milliarden Euro
  3. Rohstoffe Kobalt-Kleinbergbau im Kongo soll besser werden

Artemis Accords: Mondverträge mit bitterem Beigeschmack
Artemis Accords
Mondverträge mit bitterem Beigeschmack

"Sicherheitszonen" zum Rohstoffabbau auf dem Mond, das Militär darf tun, was es will, Machtfragen werden nicht geklärt, der Weltraumvertrag wird gebrochen.
Von Frank Wunderlich-Pfeiffer

  1. Artemis Nasa engagiert Nokia für LTE-Netz auf dem Mond

Oneplus 8T im Test: Oneplus gutes Gesamtpaket kostet 600 Euro
Oneplus 8T im Test
Oneplus gutes Gesamtpaket kostet 600 Euro

Das Oneplus 8 wird durch das 8T abgelöst. Im Test überzeugen vor allem die Kamera und die Ladegeschwindigkeit. Ein 8T Pro gibt es 2020 nicht.
Ein Test von Tobias Költzsch

  1. Bloatware Oneplus installiert keine Facebook-Dienste mehr vor
  2. Smartphone Oneplus 8 und 8 Pro bekommen Android 11
  3. Mobile Neues Oneplus-Smartphone für 200 US-Dollar erwartet

    •  /