Docker用以提高Linux內核安全性的三大熱點技術

關於譯者Ghostcloud

Ghostcloud（中文名：精靈雲）是成都精靈雲科技有限公司旗下的基於Docker的PaaS/CaaS平台品牌。公司成立於2015年，核心團隊由來自EMC、Veritas、華為、IBM、Microsoft的核心技術主管和架構師組成。精靈雲作為國內首批從事容器虛擬化研發的企業，為企業級行業客戶提供針對互聯網化、私有雲管理平台、大數據業務基礎架構的平台服務，在國內Docker社區貢獻排名前三。主創團隊曾參與Beego開源項目研發，並主導發布《Docker容器實戰：原理、架構與應用》一書。Ghostcloud因容器技術而生，致力於為多個領域的「互聯網+」轉型企業提供服務，是一流的企業級容器雲服務專家。

前言

LinuxKit項目目前正在孵化幾種用以提高Linux安全性的技術，包括Wireguard VPN和Landlock。

今年4月18日，Docker正式對外發布一款開源工具包LinuxKit，用以構建容器優化的Linux發行版。目前，Docker想通過在其LinuxKit社區中孵出幾個新生的Linux安全項目來提高Linux內核安全性。

對Docker公司來說，Docker的安全性至關重要，而LinuxKit在成功提升Docker的安全性上必將是十分具有代表性的。據悉，LinuxKit項目也確實如預期那樣孵化出一些專門用於提高Linux安全性的項目。而Docker和LinuxKit項目的主要職責是確保所有的Linux內核安全工作能向上游移動到Linux內核的主線工作中去。

不僅如此，Docker方面還希望那些在Linux社區中為提升安全性做出貢獻的人可以在LinuxKit項目中獲得更多的成就感。

現在，我們就一起來看看LinuxKit項目都孵化了哪些提升Linux安全性的技術。

Wireguard

開源Wireguard VPN來自LinuxKit社區，適用於Linux系統。Wireguard 是一類新型VPN，且採用了加密技術。這種加密技術常用於安全消息應用程序，比如WhatsApp應用程序使用的是Noise Protocol技術框架，而這個技術框架同時也是Wireguard VPN的核心技術框架。可見Wireguard帶給Linux的是一種非常輕量級和安全的VPN技術。

有趣地是，根據Docker方面透露，Wireguard可以掛載到網路命名空間中去，並實現容器到容器的加密通信。

KSPP

內核自我保護項目（Kernel Self Protection Project，以下簡稱「KSPP」）是由來自Google的一名開發者Kees Cook於2016年推出的。項目一經推出，KSPP便作為向Linux內核提供多層安全性保障的一種方式，且在KSPP工作的許多領域中都有幫助緩解內存損失風險的保護措施。

Docker公司認為KSPP是改進Linux安全性和LinuxKit項目的重要工具，因此，幾名來自Docker的全職員工目前也在為KSPP服務並為KSPP項目做出貢獻。

Landlock

Linux內核主線中有一些Linux安全模塊（LSM）為Linux中運行的進程提供訪問控制策略，其中最為熟知的兩個LSM是SELinux和AppArmor。 SELinux最初由美國國家安全局（NSA）開發，如今是基於Red Hat的Linux發行版的核心部分。

LinuxKit項目孵化出了一款新的LSM——Landlock。Landlock利用擴展的伯克利數據包過濾器（eBPF）將小程序掛載到Linux內核。

據Docker公司方面透露，當這些eBPF程序集成LSM後，可為上下游提供非常強大的決策環境。因而，Landlock加入到LinuxKit將對基於容器的環境非常有利。「

舉例來看，Landlock可寫入限制容器訪問不屬於容器本身的文件描述符的策略，這被當做是限制容器轉義的最後一道防線。因此，Landlock對Docker容器的使用者來說其實是有益無害的。

另外，Landlock中用以保護容器部署的規則提非常靈活。因為現有的LSM並不總是易於系統管理員進行配置，所以，我們期待Landlock在使用上可以更簡化易上手。

結語

如今，容器安全技術的市場在不斷增長，市場上存在多家供應商，包括Twistlock，Anchore，Aqua Security，NeuVector，Aporeto，Tenable和Capsule8等在內的廠商都在研發相關的產品。由於LinuxKit的出現，Docker將有望為容器安全領域提供核心支持。

我們希望Docker作為平台提供商，能儘可能地解決基礎安全問題，並為應用程序創建一個安全的基礎環境，以更好的發揮平台上的各項功能。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！