Abo
  • Services:
Anzeige
Docker ist das wohl bekannteste Beispiel für den Einsatz von Linux-Containern.
Docker ist das wohl bekannteste Beispiel für den Einsatz von Linux-Containern. (Bild: Docker)

Matthew Garrett: Linux-Container müssen noch sicherer werden

Docker ist das wohl bekannteste Beispiel für den Einsatz von Linux-Containern.
Docker ist das wohl bekannteste Beispiel für den Einsatz von Linux-Containern. (Bild: Docker)

Container-Technologien unter Linux, vor allem das populäre Docker, müssen sicherer werden, meint Kernel-Hacker Matthew Garrett. Dazu brauche es aggressivere Tests und eine starke Code-Überprüfung.

Anzeige

Technologien wie Docker, die auf Linux-Containern aufbauen, bieten einen größeren Angriffsvektor als etwa mit Hypervisoren virtualisierte Systeme, schreibt der Kernel-Hacker Matthew Garret in seinem Blog. Das liege schlicht daran, dass die Menge an Code, der mit vollen Rechten läuft und für weniger vertrauenswürdige Anwendungen bereitsteht, in Container-Umgebungen größer sei als in Hypervisor-Umgebungen. Das führe zwar nicht zwingend zu verringerter Sicherheit von Containern im Vergleich zu Hypervisoren, dennoch müsse die Sicherheit der Container-Umgebungen erhöht werden, so Garrett.

Dabei sollte es nicht darum gehen, Container so sicher zu machen wie Hypervisoren, da dies wohl nie erreicht werden könne. Vielmehr sollte daran gearbeitet werden, die Sicherheit der Container-Umgebungen so sehr wie möglich an die der Hypervisoren anzunähern, so dass der Unterschied praktisch keine Rolle mehr spiele. So weit sei die Technik aber noch nicht.

Zwar könnten sehr strenge Seccomp-Richtlinien und enge Beschränkungen für den Zugriff auf /proc, /sys und /dev dabei helfen, Probleme zu beheben, aber eben nicht alle verhindern. Deshalb müssten Firmen, die Container-basierte Produkte verkaufen, ihren bisherigen "Mangel an Beiträgen" überwinden, fordert Garrett.

Sinnvolle Arbeiten dazu seien etwa ein sehr "starkes Audit des Codes und aggressives Fuzzing der Container in realistischen Konfigurationen". Zudem müssten diese ein "sinnvolles Verschachteln der Linux-Sicherheits-Module in Namensräumen" unterstützen und eine "Selbstprüfung der Container und des Host-Betriebssystems" vornehmen, um eventuelle Gefährdungsmöglichkeiten festzustellen. Das seien zwar keine einfachen Aufgaben, sie seien aber dennoch sehr wichtig.

Bis sich die von Garrett angesprochenen Dinge verbesserten, bleibe zur Beschreibung von Containern jedoch nur die Wahl aus zwei der drei folgenden Eigenschaften: "bequem, günstig, sicher". Ein Überblick darüber, wie die Sicherheit aktuell eingesetzter Container erhöht werden kann, bietet eine Präsentation des Docker-Mitarbeiters Jérôme Petazzoni.


eye home zur Startseite
Onsdag 24. Okt 2014

... weiterentwickeln? Somit laufen diese Container auf dem Hostsystem auch nur als...



Anzeige

Stellenmarkt
  1. BENTELER-Group, Düsseldorf
  2. LivingData GmbH, Landshut, Nürnberg
  3. LogPay Financial Services GmbH, Eschborn
  4. Ratbacher GmbH, München


Anzeige
Hardware-Angebote
  1. 18,01€+ 3€ Versand

Folgen Sie uns
       


  1. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  2. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  3. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen

  4. NH-L9a-AM4 und NH-L12S

    Noctua bringt Mini-ITX-Kühler für Ryzen

  5. Wegen Lieferproblemen

    Spekulationen über Aus für Opels Elektroauto Ampera-E

  6. Minix

    Fehler in Intel ME ermöglicht Codeausführung

  7. Oracle

    Java SE 9 und Java EE 8 gehen live

  8. Störerhaftung abgeschafft

    Bundesrat stimmt für WLAN-Gesetz mit Netzsperrenanspruch

  9. Streaming

    Update für Fire TV bringt Lupenfunktion

  10. Entlassungen

    HPE wird wohl die Mitarbeiterzahl dezimieren



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

Zukunft des Autos: "Unsere Elektrofahrzeuge sollen typische Porsche sein"
Zukunft des Autos
"Unsere Elektrofahrzeuge sollen typische Porsche sein"
  1. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  2. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor
  3. ID Crozz VW stellt elektrisches Crossover vor

  1. Re: Wieder mal Schwachsinn

    computerversteher | 17:32

  2. Re: Gibt es Neuigkeiten bzgl. 24 Herz?

    robinx999 | 17:31

  3. Re: Nur die Socke!

    elcaron | 17:24

  4. As usual

    tralalala | 17:23

  5. Re: Gab es irgendjemanden

    Chatlog | 17:22


  1. 17:25

  2. 16:55

  3. 16:39

  4. 16:12

  5. 15:30

  6. 15:06

  7. 14:00

  8. 13:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel