Abo
  • Services:
Anzeige
Matthew Garrett hält Container für besser als nichts, an der Sicherheit müsse dennoch weiter gearbeitet werden.
Matthew Garrett hält Container für besser als nichts, an der Sicherheit müsse dennoch weiter gearbeitet werden. (Bild: Daniel Pook/Golem.de)

Matthew Garrett: "Mit Containern ist besser als ohne"

Matthew Garrett hält Container für besser als nichts, an der Sicherheit müsse dennoch weiter gearbeitet werden.
Matthew Garrett hält Container für besser als nichts, an der Sicherheit müsse dennoch weiter gearbeitet werden. (Bild: Daniel Pook/Golem.de)

Schon jetzt sei es aus der Sicherheitsperspektive immer besser, Container einzusetzen, als auf diese zu verzichten, sagt Linux-Entwickler Matthew Garrett. Für eine höhere Sicherheit müsse trotzdem noch viel Arbeit in vorhandene und neue Werkzeuge gesteckt werden.

Anzeige

Sobald zwei oder mehr Prozesse auf einem Server laufen, sei es sinnvoll, diese in einzelnen Containern auszuführen, sagt der bei dem Containerspezialisten CoreOS für die Sicherheit verantwortliche Entwickler Matthew Garrett auf der Linuxcon Europe. Denn die Sicherheit sei "mit Containern immer besser als ohne".

Garrett führt dies auf die von Containern genutzte Technik des Linux-Kernels zurück. So sorgten die Namensräume und Controlgroups (Cgroups) bereits für eine starke Isolation. Pro Container gebe es eine unabhängige Sicht auf das Dateisystem, ebenso gebe es unabhängige Prozessbäume. Angreifer könnten also nicht auf die Dateien oder Prozesse von anderen Containern zugreifen. Die Cgroups beschränken dabei sehr detailliert den Zugriff eines Prozesses auf die CPU, RAM sowie I/O-Operationen.

Dies sei schon Vorteil genug, zum Beispiel einen Webserver-Daemon sowie eine dazugehörige Datenbank in je einen Container zu packen, so Garrett. Natürlich sei dies aber nur eine optimale Annahme der Realität, schließlich müsse von vorhandenen Fehlern ausgegangen werden, welche dieses System schwächen. Entsprechend müssten weitere Vorkehrungen getroffen werden.

Alte Werkzeuge sind wenig an Container angepasst

Dafür stehen seit längerem verschiedene Möglichkeiten bereit, die bereits für den Linux-Kernel eingesetzt werden. So sollten etwa bestimmte Zugriffe eines Containers eingeschränkt werden. Möglich sei dies etwa mit Seccomp, wodurch Systemaufrufe eines laufenden Prozesses unterbunden werden können. Dies bezeichnet Garrett aber als "ziemlich stumpfe" Methode.

So werde damit etwa auch verhindert, bestimmte Fähigkeiten des Prozesses im Betrieb zu verändern und somit zurückzuschalten. Darüber hinaus sei es sehr schwer, gute Richtlinien für die Verwendung von Seccomp zu schreiben und diese zusätzlich auch noch auf Container auszuweiten.

Eine ähnliche Argumentation führt Garrett für Selinux auf. Zwar könne damit erreicht werden, dass Prozesse in eigenen Kontexten liefen und nur auf Dateien in diesen Kontexten zugreifen könnten. Doch die Regeln dafür seien sehr kompliziert. Außerdem ließen sich nur Selinux-Regeln für den Host erstellen, welche von den Containern übernommen würden. Spezifische Regeln pro Container seien aber zurzeit nicht möglich.

Künftige Herausforderungen

Garrett fordert deshalb, die bestehenden Systeme deutlich zu verbessern und diese für den Einsatz mit Containern anzupassen. Dies wird wohl unvermeidlich werden. Doch er führt auch Möglichkeiten auf, die Sicherheit von Containern zu erhöhen, die sich zukünftig breiter einsetzen lassen könnten.

So erwähnt der Entwickler etwa Clearlinux von Intel, das eine Art minimaler virtueller Maschine erstellt, in der dann wiederum die Container laufen. Dies ermögliche eine stärkere Isolation und bessere Abstraktion von der Hardware als allein die Containertechnologie. Dabei werden aber nicht viel mehr Ressourcen benötigt.

Die Firmen, die Containertechnologie erstellen und vertreiben, sollten zudem überlegen, einige Patches aus der Grsec-Sammlung wieder aufzugreifen und diese eventuell sogar im Hauptzweig des Linux-Kernels zur Verfügung zu stellen, so Garrett. Diese Ansätze werden wohl aber noch einige Zeit bis zur Umsetzung benötigen.


eye home zur Startseite
dimorog 05. Okt 2015

Es gibt neben "data only Containers" noch weiter Möglichkeiten Daten persistent zu...



Anzeige

Stellenmarkt
  1. Bosch Service Solutions Magdeburg GmbH, Berlin
  2. Continental AG, Frankfurt
  3. zeb/rolfes.schierenbeck.associates gmbh, Berlin, Frankfurt am Main, Hamburg, München, Münster
  4. Dr. August Oetker KG, Bielefeld


Anzeige
Top-Angebote
  1. (u. a. Logitech G Pro für 39€ und PS4 inkl. FIFA 18 und 2 Controllern 279,00€)
  2. ab Mittwoch für 24,99€ statt 39,99€
  3. bis zu 41% reduziert (u. a. Samsung 27 Zoll Curved 177€)

Folgen Sie uns
       


  1. Tele Columbus

    1 GBit würden "gegenwärtig nur die Nerds buchen"

  2. Systemkamera

    Leica CL verbindet Retro-Design mit neuester Technik

  3. Android

    Google bekommt Standortdaten auch ohne GPS-Aktivierung

  4. Kabelnetz

    Primacom darf Kundendaten nicht weitergeben

  5. SX-10 Aurora Tsubasa

    NECs Beschleuniger nutzt sechs HBM2-Stacks

  6. Virtual Reality

    Huawei und TPCast wollen VR mit 5G streamen

  7. Wayland-Desktop

    Nvidia bittet um Mitarbeit an Linux-Speicher-API

  8. Kabelnetz

    Vodafone liefert Kabelradio-Receiver mit Analogabschaltung

  9. Einigung erzielt

    EU verbietet Geoblocking im Online-Handel

  10. Unitymedia

    Discounter Eazy kommt technisch nicht an das TV-Kabelnetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Coffee Lake vs. Ryzen: Was CPU-Multitasking mit Spielen macht
Coffee Lake vs. Ryzen
Was CPU-Multitasking mit Spielen macht
  1. Custom Foundry Intel will 10-nm-Smartphone-SoCs ab 2018 produzieren
  2. ARM-Prozessoren Macom verkauft Applied Micro
  3. Apple A11 Bionic KI-Hardware ist so groß wie mehrere CPU-Kerne

Smartphone-Kameras im Test: Die beste Kamera ist die, die man dabeihat
Smartphone-Kameras im Test
Die beste Kamera ist die, die man dabeihat
  1. Honor 7X Smartphone im 2:1-Format mit verbesserter Dual-Kamera
  2. Mini-Smartphone Jelly im Test Winzig, gewöhnungsbedürftig, nutzbar
  3. Leia RED verrät Details zum Holo-Display seines Smartphones

Xbox One X im Test: Schöner, schwerer Stromfresser
Xbox One X im Test
Schöner, schwerer Stromfresser
  1. Microsoft Xbox-Software und -Services wachsen um 21 Prozent
  2. Microsoft Xbox One emuliert 13 Xbox-Klassiker
  3. Microsoft Neue Firmware für Xbox One bietet mehr Übersicht

  1. Ich will auch keine 200MBits von denen, ...

    Schnurrbernd | 22:30

  2. Re: BQ Aquaris X Pro mit 128GB/4GB schon für 415 ¤

    cellPro | 22:30

  3. Re: Ist doch alles "kostenlos"

    logged_in | 22:29

  4. Re: Init7: 777/y

    SJ | 22:27

  5. Re: Init7 - günstiger

    SJ | 22:26


  1. 20:00

  2. 18:28

  3. 18:19

  4. 17:51

  5. 16:55

  6. 16:06

  7. 15:51

  8. 14:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel