डॉकर सबसे अधिक उपयोग किए जाने वाले कंटेनरीकरण प्लेटफार्मों में से एक है और सॉफ्टवेयर इंजीनियरों के बीच अत्यधिक पसंद किया जाता है। यह डॉकर कंटेनरों और अन्य संबंधित कार्यों के प्रबंधन के लिए एक शक्तिशाली सीएलआई उपकरण के साथ आता है।
डिफ़ॉल्ट रूप से, आपको लिनक्स पर डॉकर से संबंधित किसी भी आदेश को चलाने के लिए रूट विशेषाधिकारों की आवश्यकता होती है। बेशक, आप इसे सुविधा के लिए बदल सकते हैं और रूट विशेषाधिकारों के बिना डॉकर कमांड चला सकते हैं, लेकिन आपको सुरक्षा निहितार्थों के बारे में पता होना चाहिए।
डॉकर अटैक सरफेस क्या है?
एक हमले की सतह हमले के बिंदुओं की संख्या है, विंडोज़ की संख्या की तरह, जो एक दुर्भावनापूर्ण उपयोगकर्ता आपके सिस्टम में प्रवेश करने और विनाश का कारण बनने के लिए उपयोग कर सकता है। एक सामान्य नियम के रूप में, सुरक्षा जोखिमों को कम करने के लिए आईटी सिस्टम में हमले की न्यूनतम सतह होनी चाहिए।
सामान्य तौर पर, डॉकर की हमले की सतह बहुत कम होती है। कंटेनर एक सुरक्षित पृथक वातावरण में चलते हैं और जब तक अन्यथा होस्ट ऑपरेटिंग सिस्टम को प्रभावित नहीं करते हैं। इसके अलावा, डॉकटर कंटेनर केवल न्यूनतम सेवाएं चलाते हैं, जो इसे अधिक सुरक्षित बनाता है।
आप सूडो विशेषाधिकारों के बिना डॉकर को नियंत्रित करने के लिए अपने लिनक्स सिस्टम को कॉन्फ़िगर कर सकते हैं। यह विकास के वातावरण में सुविधाजनक हो सकता है लेकिन उत्पादन प्रणालियों में गंभीर सुरक्षा भेद्यता हो सकती है। और यही कारण है कि आपको सूडो के बिना डॉकर को कभी नहीं चलाना चाहिए।
1. डॉकटर कंटेनरों को नियंत्रित करने की क्षमता
सुडो विशेषाधिकारों के बिना, आपके सिस्टम या सर्वर तक पहुंच रखने वाला कोई भी व्यक्ति डॉकर के हर पहलू को नियंत्रित कर सकता है। उनके पास आपकी डॉकर लॉग फ़ाइलों तक पहुंच है और कंटेनर को इच्छानुसार या गलती से रोक और हटा सकते हैं। आप महत्वपूर्ण डेटा भी खो सकते हैं जो व्यापार निरंतरता के लिए महत्वपूर्ण है।
यदि आप उत्पादन वातावरण में डॉकटर कंटेनरों का उपयोग कर रहे हैं, तो डाउनटाइम के परिणामस्वरूप व्यापार और विश्वास का नुकसान होता है।
2. होस्ट OS निर्देशिकाओं का नियंत्रण प्राप्त करें
डॉकर वॉल्यूम एक शक्तिशाली सेवा है जो आपको कंटेनर डेटा को होस्ट ओएस पर एक निर्दिष्ट फ़ोल्डर में लिखकर साझा करने और बनाए रखने की अनुमति देती है।
सबसे बड़े खतरों में से एक जो डॉकर को सूडो के बिना प्रस्तुत करता है, वह यह है कि आपके सिस्टम पर कोई भी रूट डायरेक्टरी सहित होस्ट ओएस की निर्देशिकाओं का नियंत्रण हासिल कर सकता है।
आपको बस इतना करना है कि एक लिनक्स डॉकर छवि चलाएं, उदाहरण के लिए, उबंटू छवि, और निम्न आदेश का उपयोग करके रूट फ़ोल्डर पर इसे माउंट करें:
डॉकर रन -टी -v /:/hostproot ubuntu bashऔर चूंकि लिनक्स डॉकर कंटेनर रूट उपयोगकर्ता के रूप में चलते हैं, इसका अनिवार्य रूप से मतलब है कि आपके पास पूरे रूट फ़ोल्डर तक पहुंच है।
उपरोक्त आदेश नवीनतम उबंटू छवि को डाउनलोड और चलाएगा और इसे रूट निर्देशिका पर आरोहित करेगा।
डॉकर कंटेनर टर्मिनल पर जाएं /hostproot निर्देशिका का उपयोग सीडी कमांड:
सीडी /hostprootls कमांड का उपयोग करके इस निर्देशिका की सामग्री को सूचीबद्ध करना होस्ट OS की वे सभी फ़ाइलें दिखाता है जो अब आपके कंटेनर में उपलब्ध हैं. अब, आप फाइलों में हेरफेर कर सकते हैं, गुप्त फाइलों को देख सकते हैं, फाइलों को छिपा सकते हैं और छिपा सकते हैं, अनुमतियां बदल सकते हैं आदि।
3. दुर्भावनापूर्ण सॉफ़्टवेयर स्थापित करें
एक अच्छी तरह से तैयार की गई डॉकर छवि पृष्ठभूमि में चल सकती है और आपके सिस्टम में हेरफेर कर सकती है या संवेदनशील डेटा एकत्र कर सकती है। इससे भी बदतर, एक दुर्भावनापूर्ण उपयोगकर्ता डॉकर कंटेनरों के माध्यम से आपके नेटवर्क पर दुर्भावनापूर्ण कोड फैला सकता है।
वहाँ हैं डॉकटर कंटेनरों के कई व्यावहारिक उपयोग के मामले, और प्रत्येक एप्लिकेशन के साथ सुरक्षा खतरों का एक अलग सेट आता है।
लिनक्स पर अपने डॉकटर कंटेनरों को सुरक्षित करें
डॉकर एक शक्तिशाली और सुरक्षित प्लेटफॉर्म है। सूडो के बिना डोकर चलाने से आपकी हमले की सतह बढ़ जाती है और आपके सिस्टम को कमजोर बना देता है। उत्पादन वातावरण में, यह अत्यधिक अनुशंसा की जाती है कि आपको डॉकर के साथ सुडो का उपयोग करना चाहिए।
एक सिस्टम पर इतने सारे उपयोगकर्ताओं के साथ, प्रत्येक उपयोगकर्ता को अनुमति देना अत्यंत कठिन हो जाता है। ऐसे मामलों में, सर्वोत्तम अभिगम नियंत्रण प्रथाओं का पालन करने से आपको अपने सिस्टम की सुरक्षा बनाए रखने में मदद मिल सकती है।