Abo
  • Services:

Matthew Garrett: "Mit Containern ist besser als ohne"

Schon jetzt sei es aus der Sicherheitsperspektive immer besser, Container einzusetzen, als auf diese zu verzichten, sagt Linux-Entwickler Matthew Garrett. Für eine höhere Sicherheit müsse trotzdem noch viel Arbeit in vorhandene und neue Werkzeuge gesteckt werden.

Artikel veröffentlicht am ,
Matthew Garrett hält Container für besser als nichts, an der Sicherheit müsse dennoch weiter gearbeitet werden.
Matthew Garrett hält Container für besser als nichts, an der Sicherheit müsse dennoch weiter gearbeitet werden. (Bild: Daniel Pook/Golem.de)

Sobald zwei oder mehr Prozesse auf einem Server laufen, sei es sinnvoll, diese in einzelnen Containern auszuführen, sagt der bei dem Containerspezialisten CoreOS für die Sicherheit verantwortliche Entwickler Matthew Garrett auf der Linuxcon Europe. Denn die Sicherheit sei "mit Containern immer besser als ohne".

Stellenmarkt
  1. BIM Berliner Immobilienmanagement GmbH, Berlin
  2. OHB System AG, Bremen, Oberpfaffenhofen

Garrett führt dies auf die von Containern genutzte Technik des Linux-Kernels zurück. So sorgten die Namensräume und Controlgroups (Cgroups) bereits für eine starke Isolation. Pro Container gebe es eine unabhängige Sicht auf das Dateisystem, ebenso gebe es unabhängige Prozessbäume. Angreifer könnten also nicht auf die Dateien oder Prozesse von anderen Containern zugreifen. Die Cgroups beschränken dabei sehr detailliert den Zugriff eines Prozesses auf die CPU, RAM sowie I/O-Operationen.

Dies sei schon Vorteil genug, zum Beispiel einen Webserver-Daemon sowie eine dazugehörige Datenbank in je einen Container zu packen, so Garrett. Natürlich sei dies aber nur eine optimale Annahme der Realität, schließlich müsse von vorhandenen Fehlern ausgegangen werden, welche dieses System schwächen. Entsprechend müssten weitere Vorkehrungen getroffen werden.

Alte Werkzeuge sind wenig an Container angepasst

Dafür stehen seit längerem verschiedene Möglichkeiten bereit, die bereits für den Linux-Kernel eingesetzt werden. So sollten etwa bestimmte Zugriffe eines Containers eingeschränkt werden. Möglich sei dies etwa mit Seccomp, wodurch Systemaufrufe eines laufenden Prozesses unterbunden werden können. Dies bezeichnet Garrett aber als "ziemlich stumpfe" Methode.

So werde damit etwa auch verhindert, bestimmte Fähigkeiten des Prozesses im Betrieb zu verändern und somit zurückzuschalten. Darüber hinaus sei es sehr schwer, gute Richtlinien für die Verwendung von Seccomp zu schreiben und diese zusätzlich auch noch auf Container auszuweiten.

Eine ähnliche Argumentation führt Garrett für Selinux auf. Zwar könne damit erreicht werden, dass Prozesse in eigenen Kontexten liefen und nur auf Dateien in diesen Kontexten zugreifen könnten. Doch die Regeln dafür seien sehr kompliziert. Außerdem ließen sich nur Selinux-Regeln für den Host erstellen, welche von den Containern übernommen würden. Spezifische Regeln pro Container seien aber zurzeit nicht möglich.

Künftige Herausforderungen

Garrett fordert deshalb, die bestehenden Systeme deutlich zu verbessern und diese für den Einsatz mit Containern anzupassen. Dies wird wohl unvermeidlich werden. Doch er führt auch Möglichkeiten auf, die Sicherheit von Containern zu erhöhen, die sich zukünftig breiter einsetzen lassen könnten.

So erwähnt der Entwickler etwa Clearlinux von Intel, das eine Art minimaler virtueller Maschine erstellt, in der dann wiederum die Container laufen. Dies ermögliche eine stärkere Isolation und bessere Abstraktion von der Hardware als allein die Containertechnologie. Dabei werden aber nicht viel mehr Ressourcen benötigt.

Die Firmen, die Containertechnologie erstellen und vertreiben, sollten zudem überlegen, einige Patches aus der Grsec-Sammlung wieder aufzugreifen und diese eventuell sogar im Hauptzweig des Linux-Kernels zur Verfügung zu stellen, so Garrett. Diese Ansätze werden wohl aber noch einige Zeit bis zur Umsetzung benötigen.



Anzeige
Blu-ray-Angebote
  1. (u. a. ES Blu-ray 10,83€, Die nackte Kanone Blu-ray-Box-Set 14,99€)
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

dimorog 05. Okt 2015

Es gibt neben "data only Containers" noch weiter Möglichkeiten Daten persistent zu...


Folgen Sie uns
       


Royole Flexpai - Hands on (CES 2019)

Das Flexpai von Royole ist das erste kommerziell erhältliche Smartphone mit faltbarem Display. Ein erster Kurztest des Gerätes zeigt, dass es noch einige Probleme mit der Software hat.

Royole Flexpai - Hands on (CES 2019) Video aufrufen
Vorschau Spielejahr 2019: Postnukleare Action und die nächste Konsolengeneration
Vorschau Spielejahr 2019
Postnukleare Action und die nächste Konsolengeneration

2019 beginnt mit Metro Exodus, Anthem, dem neuen Anno und The Division 2 richtig toll! Golem.de verrät, welche Blockbuster sonst noch kommen, was die Konsolenhersteller möglicherweise planen - und was auch Ende 2019 fast sicher nicht zum Spielen da sein wird.
Von Peter Steinlechner

  1. Slightly Mad Mad Box soll Konkurrenz für Xbox und Playstation werden
  2. Jugendschutz China erlaubt neue Computerspiele
  3. Jugendschutz Studie der US-Regierung entlastet Spielebranche

Kaufberatung: Die richtige CPU und Grafikkarte
Kaufberatung
Die richtige CPU und Grafikkarte

Bei PC-Hardware gab es 2018 viele Neuerungen: AMD hat 32 CPU-Kerne etabliert, Intel verkauft immerhin acht Cores statt vier und Nvidias Turing-Grafikkarten folgten auf die zwei Jahre alten Pascal-Modelle. Wir beraten bei Komponenten und geben einen Ausblick auf die kommenden Monate.
Von Marc Sauter

  1. Fujian Jinhua USA verhängen Exportverbot gegen chinesischen DRAM-Fertiger
  2. Halbleiter China pumpt 47 Milliarden US-Dollar in eigene Chip-Industrie
  3. Dell Neue Optiplex-Systeme in drei Größen und mit Dual-GPUs

Mobilität: Überrollt von Autos
Mobilität
Überrollt von Autos

CES 2019 Die Consumer Electronic Show entwickelt sich immer stärker zu einer Mobilitätsmesse. Größere Fernseher und leichtere Laptops sind zwar noch ein Thema, doch die Stars in Las Vegas haben Räder.
Ein Bericht von Dirk Kunde

  1. Link Bar JBL bringt Soundbar mit eingebautem Android TV doch noch
  2. Streaming LG und Sony bringen Airplay 2 nur auf neue Smart-TVs
  3. Master Series ZG9 Sony stellt seinen ersten 8K-Fernseher vor

    •  /