Abo
  • Services:
Anzeige
Docker ist das wohl bekannteste Beispiel für den Einsatz von Linux-Containern.
Docker ist das wohl bekannteste Beispiel für den Einsatz von Linux-Containern. (Bild: Docker)

Matthew Garrett: Linux-Container müssen noch sicherer werden

Docker ist das wohl bekannteste Beispiel für den Einsatz von Linux-Containern.
Docker ist das wohl bekannteste Beispiel für den Einsatz von Linux-Containern. (Bild: Docker)

Container-Technologien unter Linux, vor allem das populäre Docker, müssen sicherer werden, meint Kernel-Hacker Matthew Garrett. Dazu brauche es aggressivere Tests und eine starke Code-Überprüfung.

Anzeige

Technologien wie Docker, die auf Linux-Containern aufbauen, bieten einen größeren Angriffsvektor als etwa mit Hypervisoren virtualisierte Systeme, schreibt der Kernel-Hacker Matthew Garret in seinem Blog. Das liege schlicht daran, dass die Menge an Code, der mit vollen Rechten läuft und für weniger vertrauenswürdige Anwendungen bereitsteht, in Container-Umgebungen größer sei als in Hypervisor-Umgebungen. Das führe zwar nicht zwingend zu verringerter Sicherheit von Containern im Vergleich zu Hypervisoren, dennoch müsse die Sicherheit der Container-Umgebungen erhöht werden, so Garrett.

Dabei sollte es nicht darum gehen, Container so sicher zu machen wie Hypervisoren, da dies wohl nie erreicht werden könne. Vielmehr sollte daran gearbeitet werden, die Sicherheit der Container-Umgebungen so sehr wie möglich an die der Hypervisoren anzunähern, so dass der Unterschied praktisch keine Rolle mehr spiele. So weit sei die Technik aber noch nicht.

Zwar könnten sehr strenge Seccomp-Richtlinien und enge Beschränkungen für den Zugriff auf /proc, /sys und /dev dabei helfen, Probleme zu beheben, aber eben nicht alle verhindern. Deshalb müssten Firmen, die Container-basierte Produkte verkaufen, ihren bisherigen "Mangel an Beiträgen" überwinden, fordert Garrett.

Sinnvolle Arbeiten dazu seien etwa ein sehr "starkes Audit des Codes und aggressives Fuzzing der Container in realistischen Konfigurationen". Zudem müssten diese ein "sinnvolles Verschachteln der Linux-Sicherheits-Module in Namensräumen" unterstützen und eine "Selbstprüfung der Container und des Host-Betriebssystems" vornehmen, um eventuelle Gefährdungsmöglichkeiten festzustellen. Das seien zwar keine einfachen Aufgaben, sie seien aber dennoch sehr wichtig.

Bis sich die von Garrett angesprochenen Dinge verbesserten, bleibe zur Beschreibung von Containern jedoch nur die Wahl aus zwei der drei folgenden Eigenschaften: "bequem, günstig, sicher". Ein Überblick darüber, wie die Sicherheit aktuell eingesetzter Container erhöht werden kann, bietet eine Präsentation des Docker-Mitarbeiters Jérôme Petazzoni.


eye home zur Startseite
Onsdag 24. Okt 2014

... weiterentwickeln? Somit laufen diese Container auf dem Hostsystem auch nur als...



Anzeige

Stellenmarkt
  1. Emsland-Stärke GmbH, Emlichheim
  2. Gries Deco Company GmbH, Niedernberg
  3. Robert Bosch GmbH, Leonberg
  4. endica GmbH, Karlsruhe


Anzeige
Spiele-Angebote
  1. 119,99€ (Vorbesteller-Preisgarantie)
  2. 69,99€ mit Vorbesteller-Preisgarantie
  3. 39,00€ + 1,99€ Versand

Folgen Sie uns
       


  1. Rockstar Games

    "Normalerweise" keine Klagen gegen GTA-Modder

  2. Stromnetz

    Tennet warnt vor Trassen-Maut für bayerische Bauern

  3. Call of Duty

    Modern Warfare Remastered erscheint alleine lauffähig

  4. Gmail

    Google scannt Mails künftig nicht mehr für Werbung

  5. Die Woche im Video

    Ein Chef geht, die Quanten kommen und Nummer Fünf lebt

  6. Hasskommentare

    Koalition einigt sich auf Änderungen am Facebook-Gesetz

  7. Netzneutralität

    CCC lehnt StreamOn der Telekom ab

  8. Star Trek

    Sprachsteuerung IBM Watson in Bridge Crew verfügbar

  9. SteamVR

    Valve zeigt Knuckles-Controller

  10. Netflix und Amazon

    Legale Streaming-Nutzung in Deutschland nimmt zu



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mario Odyssey angespielt: Die feindliche Übernahme mit dem Schnauz
Mario Odyssey angespielt
Die feindliche Übernahme mit dem Schnauz
  1. Nintendo Firmware 3.00 bringt neue Funktionen auf die Switch
  2. Nintendo Switch Metroid Prime 4, echtes Pokémon und Rocket League kommen
  3. Arms im Test Gerade statt Aufwärtshaken

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

Stehpult ausprobiert: Aufstehen gegen Rückenschmerzen
Stehpult ausprobiert
Aufstehen gegen Rückenschmerzen
  1. Stellenmarkt Softwareentwickler haben nicht die bestbezahlten IT-Jobs
  2. Looksee Wellington Neuseeland zieht mehr IT-Experten an
  3. Jobs Deutschland kann seinen IT-Fachkräftemangel selbst lösen

  1. Re: Nutzt irgendjemand hier wirklich noch google-mail

    Das... | 15:51

  2. Re: Ich wünsche mir mehr Coopspiele die man...

    JörgLudwig | 15:36

  3. Re: Wie "Anspannung im Netz" und Atomkraftwerke...

    bombinho | 15:35

  4. Re: Wasserstoff

    Stefan99 | 15:35

  5. Re: Aua.

    senf.dazu | 15:32


  1. 13:30

  2. 12:14

  3. 11:43

  4. 10:51

  5. 09:01

  6. 17:40

  7. 16:22

  8. 15:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel