Doc­ker en se­cu­ri­ty

C’t Magazine - - Achtergrond | Docker -

Con­tai­ners moe­ten de vei­lig­heid ver­gro­ten, ap­pli­ca­tie-om­ge­vin­gen zo klein mo­ge­lijk hou­den en de com­mu­ni­ca­tie daar­tus­sen aan ban­den kun­nen leg­gen. Dat kan door het ge­bruik van be­we­zen me­cha­nis­men van de Li­nux-ker­nel zo­als pro­ce­sen net­werk-na­mes­pa­ces. Maar het ge­voel van vei­lig­heid kan op twee pun­ten ook be­drieg­lijk zijn. De tech­niek ont­wik­kelt zich nog ste­vig door en ker­nel- en Doc­ker-ont­wik­ke­laars wer­ken met de User Na­mes­pa­ces al lan­ger aan een tech­niek om de vei­lig­heid te ver­be­te­ren. Maar die wordt stan­daard nog niet ge­bruikt om­dat er twij­fel be­staat over de vol­groeid­heid. Doc­ker vindt daar­naast nog nieu­we ma­nie­ren uit voor soft­wa­re­pak­ket­ten en -ver­sprei­ding – te ver­ge­lij­ken met de pak­ket- en in­stal­la­tie­tech­nie­ken van Li­nux-dis­tri­bu­ties – maar die staan nog in de kin­der­schoe­nen.

Voor het toe­voe­gen van se­cu­ri­ty­pat­ches zijn de mees­te con­tai­ne­ri­ma­ges nog af­han­ke­lijk van de dis­tri­bu­teurs. Pas als die een up­da­te uit­ge­bracht heb­ben, wordt een ima­ge bij­ge­werkt. Vol­gens Doc­ker moet dat voor 'of­fi­ci­ë­le' ima­ges bin­nen 24 uur ge­beu­ren.

Bij 'niet of­fi­ci­ë­le' ima­ges loopt het toe­voe­gen van se­cu­ri­ty-up­da­tes nog meer ach­ter. Vaak krij­gen de ima­ges pas bij een vol­gen­de re­gu­lie­re up­da­te door de ima­ge-be­heer­der der­ge­lij­ke up­da­tes en blij­ven ze lan­ge­re tijd wer­ken met een min­der vei­li­ge ba­sis­ima­ge – een se­cu­ri­ty-up­da­te voor de ba­sis trig­gert geen re­build van de ima­ges die er­op ge­ba­seerd zijn.

Het zou pret­tig zijn als soft­wa­re in Doc­ker-con­tai­ners in prin­ci­pe niet met root­rech­ten werkt. He­laas hou­den veel gang­ba­re Doc­ker-ima­ges zich niet aan het ad­vies het hoofd­pro­ces met ge­re­du­ceer­de rech­ten te star­ten. Dan heeft een in­drin­ger die bij­voor­beeld een we­bap­pli­ca­tie in een con­tai­ner hackt ver­der mak­ke­lijk spel: hij kan de – al zijn het er maar wei­nig – toe­gan­ke­lij­ke ker­ne­lin­ter­fa­ces met maxi­ma­le rech­ten ge­brui­ken. De weer­stand die de se­cu­ri­ty­laag biedt is gro­ter dan een chroot-om­ge­ving, maar ze­ker min­der dan bij een vir­tu­e­le ma­chi­ne.

Newspapers in Dutch

Newspapers from Netherlands

© PressReader. All rights reserved.