डॉकर छवियों को सुरक्षित करने के लिए 10 सर्वश्रेष्ठ अभ्यास। भाग 1

लेख का एक अनुवाद विशेष रूप से लिनक्स सुरक्षा पाठ्यक्रम के छात्रों के लिए तैयार किया गया था।

---

इस लेख में, हम डॉकर पर ध्यान केंद्रित करना चाहते हैं और उन टिप्स और ट्रिक्स पर चर्चा करेंगे जो डॉकर छवियों के प्रसंस्करण के लिए अधिक सुरक्षित और उच्च गुणवत्ता वाली प्रक्रिया प्रदान करते हैं।

तो, चलो 10 डॉकर छवि सुरक्षा सर्वोत्तम प्रथाओं की हमारी सूची के साथ शुरू करते हैं।

1. न्यूनतम बुनियादी छवियों को प्राथमिकता दें

अक्सर आप एक बुनियादी डॉकर कंटेनर छवि के साथ परियोजनाओं को शुरू कर सकते हैं, उदाहरण के लिए, FROM node साथ "डिफ़ॉल्ट रूप से" के साथ एक Dockerfile लिखकर। हालांकि, एक नोड छवि को निर्दिष्ट करते समय, ध्यान रखें कि पूरी तरह से स्थापित डेबियन स्ट्रेच वितरण आधार छवि है जो इसे बनाने के लिए उपयोग किया जाता है। यदि आपकी परियोजना को किसी भी सामान्य सिस्टम लाइब्रेरी या उपयोगिताओं की आवश्यकता नहीं है, तो आधार छवि के रूप में पूरी तरह कार्यात्मक ऑपरेटिंग सिस्टम (ओएस) का उपयोग करने से बचना बेहतर है।

स्नेक ओपन सोर्स सिक्योरिटी स्टेटस रिपोर्ट 2019 में, हमने पाया कि डॉकर हब वेबसाइट पर दिखाए गए कई लोकप्रिय डॉकटर कंटेनरों में ऐसी छवियां हैं जिनमें कई ज्ञात कमजोरियां हैं। उदाहरण के लिए, जब आप लोकप्रिय सार्वभौमिक docker pull node छवि का उपयोग करते हैं, तो आप वास्तव में अपने आवेदन में ओएस दर्ज करते हैं, जो, जैसा कि आप जानते हैं, इसकी सिस्टम पुस्तकालयों में 580 कमजोरियां हैं।



जैसा कि आप सुरक्षा रिपोर्ट से देख सकते हैं, डोकर हब में परीक्षण किए गए दस सबसे लोकप्रिय डॉकर छवियों में से प्रत्येक में ज्ञात कमजोरियां थीं। अपनी परियोजना को चलाने के लिए आवश्यक आवश्यक उपकरण और पुस्तकालयों को संयोजित करने वाली न्यूनतम छवियों का उल्लेख करते हुए, आप हमलावरों को हमला करने और यह सुनिश्चित करने के लिए स्थान कम से कम करते हैं कि आप एक सुरक्षित ओएस की आपूर्ति करते हैं।

अपने चित्रों की सुरक्षा के बारे में अधिक जानें

2. कम से कम विशेषाधिकार प्राप्त उपयोगकर्ता

जब Dockerfile USER निर्दिष्ट नहीं करता है, तो डिफ़ॉल्ट रूप से कंटेनर रूट उपयोगकर्ता के रूप में चलता है। व्यवहार में, बहुत कम कारण हैं कि किसी कंटेनर के मूल विशेषाधिकार क्यों होने चाहिए। डॉकर रूट उपयोगकर्ता का उपयोग करके डिफ़ॉल्ट रूप से कंटेनरों को शुरू करता है। फिर, जब इस नाम स्थान को रनिंग कंटेनर में रूट उपयोगकर्ता के लिए मैप किया जाता है, तो यह निम्न प्रकार से होता है कि कंटेनर संभावित रूप से डॉकर होस्ट पर रूट एक्सेस है। रूट उपयोगकर्ता के साथ एक कंटेनर में एप्लिकेशन को चलाने से हमले की जगह का विस्तार होता है और यदि एप्लिकेशन स्वयं कारनामों के लिए असुरक्षित है तो विशेषाधिकारों को बढ़ाने का एक आसान तरीका प्रदान करता है।

एक्सपोज़र को कम करने के लिए, डॉकटर छवि में एक समर्पित उपयोगकर्ता और समूह के निर्माण को सक्षम करें; यह सत्यापित करने के लिए कि कंटेनर कम से कम विशेषाधिकार प्राप्त एक्सेस के साथ एप्लिकेशन शुरू करता है, Dockerfile में USER निर्देश का उपयोग करें।

एक समर्पित उपयोगकर्ता छवि में मौजूद नहीं हो सकता है; Dockerfile में निर्देशों का उपयोग करके इस उपयोगकर्ता को Dockerfile ।

निम्नलिखित एक सार्वभौमिक उबंटू छवि के लिए यह करने का एक पूरा उदाहरण है:

 FROM ubuntu RUN mkdir /app RUN groupadd -r lirantal && useradd -r -s /bin/false -g lirantal lirantal WORKDIR /app COPY . /app RUN chown -R lirantal:lirantal /app USER lirantal CMD node index.js 

ऊपर का उदाहरण:

• एक पासवर्ड के बिना एक सिस्टम उपयोगकर्ता (-r) बनाता है, बिना होम डायरेक्टरी और शेल के बिना
• हमारे द्वारा बनाए गए उपयोगकर्ता को हम पहले से बनाए गए समूह में जोड़ते हैं (समूहवाद का उपयोग करके)
• हमारे द्वारा बनाए गए उपयोगकर्ता के नाम के साथ अंतिम तर्क जोड़ता है, जो हमने बनाया समूह के साथ संयोजन में

Node.js और अल्पाइन चित्र, वे पहले से ही node नामक एक सामान्य उपयोगकर्ता को शामिल करते हैं। यहाँ सामान्य उपयोगकर्ता नोड का उपयोग करते हुए एक उदाहरण Node.js है:

 FROM node:10-alpine RUN mkdir /app COPY . /app RUN chown -R node:node /app USER node CMD [“node”, “index.js”] 

यदि आप Node.js एप्लिकेशन विकसित कर रहे हैं, तो आप आधिकारिक डॉकर और Node.js सर्वोत्तम प्रथाओं का उल्लेख कर सकते हैं।

3. MITM हमलों से बचने के लिए छवियों पर हस्ताक्षर करें और उन्हें सत्यापित करें

डॉकर छवियों की प्रामाणिकता एक समस्या है। हम इन छवियों पर भरोसा करते हैं क्योंकि हम सचमुच उन्हें एक कंटेनर के रूप में उपयोग करते हैं जो उत्पादन में हमारे कोड को चलाता है। इसलिए, यह सुनिश्चित करना महत्वपूर्ण है कि जिस छवि का हम उपयोग करते हैं वह बिल्कुल वही है जो प्रकाशक वितरित करता है, और उस पक्ष ने इसे नहीं बदला है। जालसाज़ डॉकर क्लाइंट और रजिस्ट्री के बीच वायर्ड कनेक्शन के माध्यम से या छवि को बदलने के लिए मालिक के खाते की रजिस्ट्री को हैक करके हो सकता है।

डॉकटर छवि को मान्य करना

डिफ़ॉल्ट डॉकर सेटिंग्स आपको उनकी प्रामाणिकता की पुष्टि किए बिना डॉकर छवियों को पुनः प्राप्त करने की अनुमति देती हैं, जो संभावित रूप से डॉकर छवियों के उपयोग को जन्म दे सकती है जिनके मूल और लेखक सत्यापित नहीं हैं।

यह अनुशंसा की जाती है कि आप हमेशा छवियों को सत्यापित करने से पहले उनका उपयोग करें, चाहे वे किसी भी नीति के हों। सत्यापन के साथ प्रयोग करने के लिए, निम्न कमांड के साथ अस्थायी रूप से डॉकर कंटेंट ट्रस्ट को सक्षम करें:

 export DOCKER_CONTENT_TRUST=1 

अब उस छवि को खींचने का प्रयास करें जिसके बारे में आप जानते हैं कि यह हस्ताक्षरित नहीं है - अनुरोध अस्वीकार कर दिया जाएगा और छवि प्राप्त नहीं की जाएगी।

हस्ताक्षर Docker छवियाँ

उन विश्वसनीय भागीदारों से डॉकर प्रमाणित छवियों को प्राथमिकता दें, जिन्हें उन छवियों के बजाय डॉकर हब द्वारा सत्यापित और पर्यवेक्षण किया गया है जिनकी उत्पत्ति और प्रामाणिकता आप सत्यापित नहीं कर सकते हैं।

डॉकर आपको छवियों पर हस्ताक्षर करने की अनुमति देता है और इस प्रकार सुरक्षा का एक और स्तर प्रदान करता है। छवियों पर हस्ताक्षर करने के लिए, डॉकर नोटरी का उपयोग करें। नोटरी आपके लिए छवि हस्ताक्षर की जाँच करता है और छवि हस्ताक्षर वैध नहीं होने पर छवि के प्रक्षेपण को अवरुद्ध करता है।

जब डॉकर कंटेंट ट्रस्ट को सक्षम किया जाता है, जैसा कि हमने ऊपर दिखाया है, डॉकर छवि की असेंबली छवि पर हस्ताक्षर करती है। जब छवि पहली बार साइन इन होती है, तो डॉकर आपके उपयोगकर्ता के लिए ~/docker/trust में निजी कुंजी बनाता है और संग्रहीत करता है। यह निजी कुंजी तब बनाई जाती है जब वे बनाई गई किसी भी अतिरिक्त छवियों पर हस्ताक्षर करने के लिए उपयोग की जाती हैं।

हस्ताक्षरित छवियों को स्थापित करने के लिए विस्तृत निर्देशों के लिए, आधिकारिक डॉकर प्रलेखन देखें ।

4. ओपन सोर्स घटकों में कमजोरियों का पता लगाएं, ठीक करें और ट्रैक करें

जब हम अपने डॉकर कंटेनर के लिए आधार छवि का चयन करते हैं, तो हम अप्रत्यक्ष रूप से उन सभी सुरक्षा मुद्दों का जोखिम उठाते हैं, जिनसे आधार छवि जुड़ी है। ये खराब रूप से कॉन्फ़िगर की गई डिफ़ॉल्ट सेटिंग्स हो सकती हैं जो ऑपरेटिंग सिस्टम की सुरक्षा में योगदान नहीं करती हैं, साथ ही सिस्टम लाइब्रेरी जो हमारे द्वारा चुनी गई आधार छवि से जुड़ी हैं।

समस्याओं के बिना एप्लिकेशन को चलाने के लिए न्यूनतम मूल छवि का उपयोग करने के लिए एक अच्छा पहला कदम है। यह भेद्यता को सीमित करके हमले के स्थान को कम करने में मदद करता है; दूसरी ओर, यह अपनी स्वयं की कोई भी जांच नहीं करता है और आपको भविष्य की कमजोरियों से बचाता नहीं है जिन्हें आधार छवि के उपयोग किए गए संस्करण के लिए पहचाना जा सकता है।

इसलिए, ओपन सोर्स सॉफ्टवेयर में कमजोरियों से बचाव का एक तरीका है कि निरंतरता को स्कैन करने और कमजोरियों को ट्रैक करने के लिए Snyk जैसे टूल का उपयोग किया जाए जो कि इस्तेमाल की गई डॉकटर छवियों की सभी परतों में मौजूद हो सकते हैं।



इन आदेशों का उपयोग करके ज्ञात कमजोरियों के लिए एक डॉकर छवि स्कैन की जाती है:

 # fetch the image to be tested so it exists locally $ docker pull node:10 # scan the image with snyk $ snyk test --docker node:10 --file=path/to/Dockerfile 

डॉकर छवि को ज्ञात कमजोरियों के लिए मॉनिटर किया जाता है, ताकि स्नेक छवि में नई कमजोरियों की खोज के बाद, यह सूचित कर सके और इसे कैसे ठीक किया जाए, इस पर सिफारिशें प्रदान कर सकता है:

 $ snyk monitor --docker node:10 

Snyk उपयोगकर्ताओं द्वारा किए गए स्कैन के आधार पर, हमने पाया कि डॉकर छवि स्कैन के 44% ज्ञात कमजोरियों का पता चला और जिसके लिए नए और अधिक सुरक्षित बुनियादी चित्र उपलब्ध थे। यह निश्चित परामर्श, जिससे डेवलपर्स कार्रवाई कर सकते हैं और अपनी डॉकर छवियों को अपडेट कर सकते हैं, स्नेक के लिए अद्वितीय है।

Snyk ने यह भी पाया कि 20% सभी Docker छवि स्कैन के लिए, कमजोरियों को कम करने के लिए Docker छवि का पुनर्निर्माण करें। Snyk ब्लॉग पर खुले 2019 सुरक्षा रिपोर्ट की संख्या के बारे में अधिक जानकारी प्राप्त करें।

पहले भाग का अंत।

दूसरे भाग में जारी है, और अब हम हर किसी को इस विषय पर एक मुफ्त वेबिनार में आमंत्रित करते हैं: “डॉकटर कमजोरियां। विशेषाधिकारों की वृद्धि के साथ कंटेनर से मेजबान तक भागना । ”