Abo
  • Services:
Anzeige
Docker ist das wohl bekannteste Beispiel für den Einsatz von Linux-Containern.
Docker ist das wohl bekannteste Beispiel für den Einsatz von Linux-Containern. (Bild: Docker)

Matthew Garrett: Linux-Container müssen noch sicherer werden

Docker ist das wohl bekannteste Beispiel für den Einsatz von Linux-Containern.
Docker ist das wohl bekannteste Beispiel für den Einsatz von Linux-Containern. (Bild: Docker)

Container-Technologien unter Linux, vor allem das populäre Docker, müssen sicherer werden, meint Kernel-Hacker Matthew Garrett. Dazu brauche es aggressivere Tests und eine starke Code-Überprüfung.

Anzeige

Technologien wie Docker, die auf Linux-Containern aufbauen, bieten einen größeren Angriffsvektor als etwa mit Hypervisoren virtualisierte Systeme, schreibt der Kernel-Hacker Matthew Garret in seinem Blog. Das liege schlicht daran, dass die Menge an Code, der mit vollen Rechten läuft und für weniger vertrauenswürdige Anwendungen bereitsteht, in Container-Umgebungen größer sei als in Hypervisor-Umgebungen. Das führe zwar nicht zwingend zu verringerter Sicherheit von Containern im Vergleich zu Hypervisoren, dennoch müsse die Sicherheit der Container-Umgebungen erhöht werden, so Garrett.

Dabei sollte es nicht darum gehen, Container so sicher zu machen wie Hypervisoren, da dies wohl nie erreicht werden könne. Vielmehr sollte daran gearbeitet werden, die Sicherheit der Container-Umgebungen so sehr wie möglich an die der Hypervisoren anzunähern, so dass der Unterschied praktisch keine Rolle mehr spiele. So weit sei die Technik aber noch nicht.

Zwar könnten sehr strenge Seccomp-Richtlinien und enge Beschränkungen für den Zugriff auf /proc, /sys und /dev dabei helfen, Probleme zu beheben, aber eben nicht alle verhindern. Deshalb müssten Firmen, die Container-basierte Produkte verkaufen, ihren bisherigen "Mangel an Beiträgen" überwinden, fordert Garrett.

Sinnvolle Arbeiten dazu seien etwa ein sehr "starkes Audit des Codes und aggressives Fuzzing der Container in realistischen Konfigurationen". Zudem müssten diese ein "sinnvolles Verschachteln der Linux-Sicherheits-Module in Namensräumen" unterstützen und eine "Selbstprüfung der Container und des Host-Betriebssystems" vornehmen, um eventuelle Gefährdungsmöglichkeiten festzustellen. Das seien zwar keine einfachen Aufgaben, sie seien aber dennoch sehr wichtig.

Bis sich die von Garrett angesprochenen Dinge verbesserten, bleibe zur Beschreibung von Containern jedoch nur die Wahl aus zwei der drei folgenden Eigenschaften: "bequem, günstig, sicher". Ein Überblick darüber, wie die Sicherheit aktuell eingesetzter Container erhöht werden kann, bietet eine Präsentation des Docker-Mitarbeiters Jérôme Petazzoni.


eye home zur Startseite
Onsdag 24. Okt 2014

... weiterentwickeln? Somit laufen diese Container auf dem Hostsystem auch nur als...



Anzeige

Stellenmarkt
  1. OSRAM Opto Semiconductors GmbH, Regensburg
  2. Robert Bosch GmbH, Abstatt
  3. Ratbacher GmbH, Stuttgart
  4. Softship AG, Hamburg


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. The Revenant, Batman v Superman, James Bond Spectre, Legend of Tarzan)
  3. 16,99€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)

Folgen Sie uns
       


  1. Amazon Channels

    Prime Video erhält Pay-TV-Plattform mit Live-Fernsehen

  2. Bayerischer Rundfunk

    Fernsehsender wollen über 5G ausstrahlen

  3. Kupfer

    Nokia hält Terabit DSL für überflüssig

  4. Kryptowährung

    Bitcoin notiert auf neuem Rekordhoch

  5. Facebook

    Dokumente zum Umgang mit Sex- und Gewaltinhalten geleakt

  6. Arduino Cinque

    RISC-V-Prozessor und ESP32 auf einem Board vereint

  7. Schatten des Krieges angespielt

    Wir stürmen Festungen! Mit Orks! Und Drachen!

  8. Skills

    Amazon lässt Alexa natürlicher klingen

  9. Cray

    Rechenleistung von Supercomputern in der Cloud mieten

  10. Streaming

    Sky geht gegen Stream4u.tv und Hardwareanbieter vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr
  2. Asus Tinker Board im Test Buntes Lotterielos rechnet schnell

Quantencomputer: Was sind diese Qubits?
Quantencomputer
Was sind diese Qubits?
  1. IBM Q Mehr Qubits von IBM
  2. Verschlüsselung Kryptographie im Quantenzeitalter
  3. Quantencomputer Bosonen statt Qubits

HTC U11 im Hands on: HTCs neues Smartphone will gedrückt werden
HTC U11 im Hands on
HTCs neues Smartphone will gedrückt werden
  1. HTC Vive Virtual Reality im Monatsabo
  2. Sense Companion HTCs digitaler Assistent ist verfügbar
  3. HTC U Ultra im Test Neues Gehäuse, kleines Display, bekannte Kamera

  1. Egal was, am Ende sitzt man eh dort.

    Bizzi | 05:16

  2. Re: LTI = Lifetime Insurance

    SzSch | 05:12

  3. Nächstes Jahr um die Zeit...

    maverick1977 | 04:58

  4. Re: Aus Windows wird doch noch ein ordentliches...

    dvdged3 | 04:29

  5. So dass man die GEZ-Gebühren auch noch eintreiben...

    __destruct() | 04:13


  1. 00:01

  2. 18:45

  3. 16:35

  4. 16:20

  5. 16:00

  6. 15:37

  7. 15:01

  8. 13:34


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel