લાક્ષણિક ડોકર અને કુબરનેટ્સ ઇન્સ્ટોલેશનની (ગુમ થયેલ) સુરક્ષાની શોધખોળ

હું 20 વર્ષથી વધુ સમયથી આઇટીમાં કામ કરી રહ્યો છું, પરંતુ કોઈક રીતે હું ક્યારેય કન્ટેનરની આસપાસ ગયો નથી. સિદ્ધાંતમાં, હું સમજી ગયો કે તેઓ કેવી રીતે સંરચિત હતા અને તેઓ કેવી રીતે કાર્ય કરે છે. પરંતુ વ્યવહારમાં મેં ક્યારેય તેમનો સામનો કર્યો ન હોવાથી, મને ખાતરી નહોતી કે તેમના હૂડ હેઠળના ગિયર્સ બરાબર કેવી રીતે વળ્યા અને વળ્યા.

આ ઉપરાંત, તેમની સુરક્ષા કેવી છે તે અંગે મને કોઈ ખ્યાલ નહોતો. પરંતુ ફરીથી, સિદ્ધાંત સરસ લાગે છે, અને જૂનું ગીત "જેમ જેમ સુરક્ષા વધે છે, ઉપયોગીતા ઘટે છે" મારા મગજમાં અટકી ગયું. તેથી મેં વિચાર્યું કે કન્ટેનર સાથે બધું કરવું ખૂબ જ સરળ છે, તો ત્યાં સલામતી બરાબર છે. જેમ તે તારણ આપે છે, હું સાચો હતો.

ઝડપી શરૂઆત કરવા માટે, મેં અભ્યાસક્રમો માટે સાઇન અપ કર્યું બ્લેક ટોપી 2020 શીર્ષક "ચીંથરાથી ધન સુધી: ડોકર સ્વોર્મ અને કુબરનેટસ વાતાવરણમાં પ્રવેશ અને રક્ષણ».

શીલા એ. બર્ટા અને સોલ ઓઝાન દ્વારા શીખવવામાં આવેલ કોર્સ, ડોકર કન્ટેનર કેવી રીતે કાર્ય કરે છે અને કુબરનેટસમાં તૈનાત કરવામાં આવે ત્યારે તેઓ જે મુસાફરી કરે છે તેના વર્ણન સાથે તરત જ શરૂ થયું. આ સંપૂર્ણ રીતે હાથ ધરાયેલો વર્ગ હતો - વિદ્યાર્થીઓએ વર્ગ પહેલાં તેમના મશીનો પર Docker અને microk8s ઇન્સ્ટોલ કરવાના હતા - સાધનો એકબીજા સાથે કેવી રીતે ક્રિયાપ્રતિક્રિયા કરે છે તે જોવાની એક સરસ રીત, નબળા મુદ્દાઓ શોધવા અને, સૌથી અગત્યનું, તેમને અવરોધિત કરવાનો પ્રયાસ કરો.

કમનસીબે, જોકે અભ્યાસક્રમોએ બે દિવસ પછી "રાજકુમાર" બનવાનું વચન આપ્યું હતું, મને લાગ્યું કે બધું હમણાં જ શરૂ થયું છે, અને મારે હજી ઘણું શીખવાનું છે.

મારા ઉચ્ચ અવલોકનોમાં ડાઇવ કરતા પહેલા, કન્ટેનર શું છે તે સમજાવવું મહત્વપૂર્ણ છે. વિકાસની દુનિયામાં, તમારા વ્યક્તિગત મશીન પર લખાયેલ કોડ સંપૂર્ણ રીતે કામ કરે તે સામાન્ય માનવામાં આવે છે, પરંતુ જ્યારે તમે તેને ક્યાંક સર્વર પર ચલાવવાનો પ્રયાસ કરો છો, ત્યારે તે કામ કરતું નથી. કન્ટેનર સ્વયં-સમાયેલ મશીનો પ્રદાન કરીને આ સમસ્યાને દૂર કરવાનો પ્રયાસ કરે છે જેને તમે સરળતાથી એક સર્વરથી બીજા સર્વર પર ખસેડી શકો છો, તે જાણીને કે તેઓ હંમેશા કામ કરશે. નામ સૂચવે છે તેમ, તેમાં કોડ, પુસ્તકાલયો અને અન્ય સોફ્ટવેરનો સમાવેશ થાય છે જે કામ પૂર્ણ કરવા માટે જરૂરી છે. બીજી બાજુ, કુબરનેટ્સ છે કન્ટેનર માટે ઓર્કેસ્ટ્રેશન પ્લેટફોર્મ. સૈદ્ધાંતિક રીતે, તેનો ઉપયોગ સેંકડો અથવા હજારો વિવિધ કન્ટેનરને એકીકૃત રીતે સંચાલિત કરવા માટે થઈ શકે છે.

નીચે લાલ અને વાદળી ટીમના પરિપ્રેક્ષ્યમાંથી મારા કેટલાક તારણો છે.

રેડ ટીમ

મોટાભાગની કન્ટેનર સામગ્રી રૂટ તરીકે ચાલે છે: આનો અર્થ એ છે કે જો કન્ટેનર સાથે ચેડા કરવામાં આવ્યા હોય, તો તમારી પાસે કન્ટેનરની સંપૂર્ણ ઍક્સેસ હશે. આ આગળના પગલાંને ખૂબ સરળ બનાવે છે.

કન્ટેનરની અંદર docker.sock માઉન્ટ કરવાનું જોખમી છે: જો તમારી પાસે કન્ટેનરની અંદર રુટ હોય અને ડોકર સોકેટ (/var/run/docker.sock) ધરાવતા કન્ટેનરની અંદર ડોકર પણ ઇન્સ્ટોલ કરેલું હોય, તો તમારી પાસે અન્ય કોઈપણ કન્ટેનરની ઍક્સેસ સહિત સમગ્ર ક્લસ્ટરનું અન્વેષણ કરવાની ક્ષમતા છે. નેટવર્ક આઇસોલેશન અથવા અન્ય માધ્યમો દ્વારા આવી ઍક્સેસને અટકાવી શકાતી નથી.

પર્યાવરણ ચલો ઘણીવાર ગુપ્ત માહિતી ધરાવે છે: મોટા ભાગના કિસ્સાઓમાં, લોકો સામાન્ય પર્યાવરણ ચલોનો ઉપયોગ કરીને કન્ટેનરમાં પાસવર્ડ મોકલે છે. તેથી જો તમારી પાસે એકાઉન્ટની ઍક્સેસ હોય, તો પછીથી તમારી શક્તિઓને વિસ્તૃત કરવા માટે તમે આ પર્યાવરણ ચલો પર જાસૂસી કરી શકો છો.

ડોકર API ઘણી બધી માહિતી આપી શકે છે: Docker API, જ્યારે ડિફોલ્ટ રૂપે રૂપરેખાંકિત હોય, ત્યારે અધિકૃતતા વિના ચાલે છે અને ઘણી બધી માહિતી ઉત્પન્ન કરી શકે છે. Shodan નો ઉપયોગ કરીને, તમે સરળતાથી ખુલ્લા બંદરોની સૂચિ મેળવી શકો છો, પછી ક્લસ્ટર વિશે વિગતવાર માહિતી મેળવી શકો છો - અને તેના સંપૂર્ણ કેપ્ચર પર આગળ વધો. TrendMicroએ આ વિશે લખ્યું છે સૌથી રસપ્રદ લેખ.

બ્લુ ટીમ

કન્ટેનર સમાવિષ્ટોને રૂટ તરીકે ચલાવશો નહીં: રુટ તરીકે ચલાવવાનું સરળ હોવા છતાં, તમારે તે ન કરવું જોઈએ. તેના બદલે, uid પ્રદર્શિત કરીને રીસેટ પરવાનગીઓ સાથે કાર્યક્રમો ચલાવો, ક્યાં તો --user વિકલ્પનો ઉપયોગ કરીને CLI માંથી ચાલી રહ્યા હોય, અથવા Dockerfile માં USER નો ઉલ્લેખ કરીને.

સૉફ્ટવેરને કન્ટેનરમાં ઇન્સ્ટોલ કરવાની મંજૂરી આપશો નહીં: લગભગ દરેક હુમલાની શરૂઆત કંઈક રોપવાથી થાય છે. nmap થી ifconfig સુધી ડોકર સુધી (કન્ટેનરની અંદર), કન્ટેનરમાં કંઈપણ ઇન્સ્ટોલ કરવું સામાન્ય બાબત છે. આ જ કારણસર, તમારે હંમેશા બધા નહિ વપરાયેલ પોર્ટ્સને બ્લોક કરવા જોઈએ. જ્યારે તમારું મશીન સંક્રમિત થાય છે ત્યારે આ નિયંત્રણ આદેશોને પ્રસારિત થતા અટકાવવામાં પણ મદદ કરે છે. પ્રોગ્રામ્સના ઇન્સ્ટોલેશનને અટકાવવા ઉપરાંત, તે ખાતરી કરવા યોગ્ય છે કે કાર્ય પૂર્ણ કરવા માટે જરૂરી ન્યૂનતમ સંખ્યામાં એપ્લિકેશન કન્ટેનરમાં જ ઇન્સ્ટોલ કરેલા છે.

ડોકર.સોકને સુરક્ષિત કરો: તે સુરક્ષિત હોવું જ જોઈએ કારણ કે કન્ટેનર અને ક્લસ્ટર વચ્ચેના સંચારની પ્રક્રિયા આ સોકેટ દ્વારા થાય છે. હું આ લેખમાં વિગતવાર જવા માંગતો ન હોવાથી, વાંચો ડોકર તરફથી નોંધ, શું થઈ શકે છે, અને તે બધું કેવી રીતે અવરોધિત કરવું.

પર્યાવરણ ચલોને બદલે ડોકર રહસ્યોનો ઉપયોગ કરો: રહસ્યો છે લગભગ 2017 થી. જો કે આ સુરક્ષિત નથી, તે હજુ પણ કન્ટેનરમાં ગુપ્ત ડેટા પસાર કરવા માટે પર્યાવરણ ચલો કરતાં વધુ સારું છે.

જો લેખે કન્ટેનરમાં તમારી રુચિ દર્શાવી હોય, તો તમે સરળતાથી Docker અથવા microk8s (Kubernetesનું નાનું સંસ્કરણ) ઇન્સ્ટોલ કરી શકો છો. તે Linux અને MacOS માટે ડોકર ઇન્સ્ટોલ કરવા માટેની સૂચનાઓ છે, અને અહીં - Windows, Linux અને MacOS માટે microk8s ઇન્સ્ટોલ કરવા માટેની સૂચનાઓ.

ઇન્સ્ટોલેશન પછી તમે જઈ શકો છો આ એક ઝડપી શરૂઆત માર્ગદર્શિકા છે ડોકરમાંથી, સમાન વિકલ્પ ઓફર કરે છે અને microk8s માટે.

જો તમે ડોકર પર એક વ્યાપક અભ્યાસક્રમ લેવા માંગતા હો અથવા જરૂર હોય, જેમાં વ્યવહારુ વક્તાઓ તેના તમામ સાધનોની તપાસ કરે છે: મૂળભૂત એબ્સ્ટ્રેક્શન્સથી નેટવર્ક પરિમાણો, વિવિધ ઓપરેટિંગ સિસ્ટમ્સ અને પ્રોગ્રામિંગ ભાષાઓ સાથે કામ કરવાની ઘોંઘાટ, પછી પ્રયાસ કરો "ડોકર વિડિઓ કોર્સ" તમે ટેક્નોલોજીથી પરિચિત થશો અને સમજી શકશો કે ડોકરનો ક્યાં અને કેવી રીતે શ્રેષ્ઠ ઉપયોગ કરવો. અને તે જ સમયે, શ્રેષ્ઠ પ્રેક્ટિસના કિસ્સાઓ મેળવો - સ્ટડેડ હેન્ડલ્સ સાથેના રેક્સમાંથી વ્યક્તિગત રીતે રેક્સ વિશેની વાર્તાઓમાંથી સલામતી અને પ્રેક્ટિશનરોના સમર્થન સાથે શીખવું વધુ સારું છે.

સોર્સ: www.habr.com