La sécurité avec Docker – Chapitre final : Le test

Chapitre final : Le test ultime   Docker Bench Security   Vous saurez très vite si vous avez suivi les recommandations de sécurité Docker en utilisant ce petit script qui n’a l’air de rien mais qui en dit long.   git clone https://github.com/docker/docker-bench-security.git cd docker-bench-security ./docker-bench-security.sh   Verdict ? Plus il y a de rouge et plus c’est méchant !   La checklist du SANS :   »

La sécurité avec Docker – Chapitre 3 : Les utilisateurs

Chapitre III : Utilisateurs   Docker ne doit pas être contrôlé par root :   Vous devez utiliser un compte standard pour manipuler vos containers et vos images Docker. C’est très simple, il suffit que votre utilisateur appartienne au groupe docker : sudo adduser moi docker docker run ...   Les conteneurs ne doivent pas être lancés par root :   Un conteneur ne doit pas être lancé en tant qu’utilisateur root sauf s’il y a une utilité particulière. »

La sécurité avec Docker – Chapitre 2 : Le réseau

Chapitre II : Réseau   Isoler les réseaux :   Les piles de logiciels ou les différents types de réseaux doivent être isolés dans des réseaux logiques séparés. Créer un réseau par stack logicielle : docker network create <nomdureseau> # Attacher les containers au réseau qui va bien docker network disconnect bridge <leconteneur> docker network connect <nomdureseau> <leconteneur>   Désactiver la communication inter conteneurs (ICC) :   »

La sécurité avec Docker – Chapitre 1 : Le système

Après plusieurs années d’expérience, je pourrais résumer Docker en un outil très utile, facile à prendre en main mais vraiment difficile à maîtriser. Le côté « facilité de déploiement » de départ masque les problèmes de sécurité inhérents à la technologie des containers. Or si Docker était encore pointé du doigt pour ses lacunes sécuritaires il y a quelques années, force est de constater que des efforts ont été faits dans ce domaine si on veut bien se donner la peine de mettre les mains dans le cambouis. »

Réseaux sous Docker : isoler les containers

Quand on veut déployer un container docker, rien de plus simple, un docker run suffit à rendre le container disponible. Mais si vous n’avez pas réfléchi avant à l’architecture réseau, vous faites communiquer vos containers dans le réseau par défaut, ce qui n’est pas forcément une bonne idée d’un point de vue sécurité.   Les trois type de réseau par défaut   Bridge   Par défaut, Docker attache les containers au réseau « bridge » qui a été créé à l’installation de Docker. »

Créer un modèle de container LXC/Proxmox

Je vous ai parlé l’autre jour des containers LXC sous Proxmox. Il est très simple de lancer un container de base ou de chez TurnkeyLinux. Par contre Proxmox ne permet pas de créer un modèle de container, il va falloir un peu user de la ligne de commande, mais c’est assez simple.   Dans cet exemple, je pars de l’image Centos 7 de base (vous devez au préalable l’avoir téléchargé) et j’en fais une image Apache/PHP que je pourrais utiliser de multiples fois. »

Fingers in the nose : Les containers LXC avec Proxmox

Il y a quelque temps maintenant, j’ai pas mal travaillé sur les containers avec Docker. Finalement j’en ai très peu mis en production faute d’outil d’orchestration justement du type Proxmox. Proxmox ne propose pas des containers Docker mais des containers Linux (LXC). Sur le principe c’est la même chose mais les images ne viennent pas du même fournisseur. Chez Docker ça vient du Docker Hub alors que les containers LXC de Proxmox sont puisés chez Turnkey Linux. »

Containers : Docker et la concurrence

Depuis quelques mois, avec le décollage de Docker, le principe des conteneurs sous Linux en a séduit plus d’un. Docker est le premier à avoir réellement lancé ce marché, il est toujours le grand leader actuel mais il voit de plus en plus de concurrents proposer des solutions alternatives, côté hôte comme côté container : CoreOS est un système hôte très léger d’hypervision et de virtualisation ; Le logiciel de containers associé est Rocket. »

Ne dites plus Fig mais Docker Compose

photo de Rémy Saglier Je vous avais parlé de Fig il y a quelque temps, un outil pour manipuler en masse des containers Docker. C’est un outil intéressant au point qu’il s’est fait racheté par Docker. Maintenant, Fig s’appelle Docker Compose. Les fonctionnalités sont restées les mêmes (voir l’article à ce sujet), seule la syntaxe a un peu changé (s/fig/docker-compose/). Tant qu’on est dans les news sur Docker, ils ont aussi livré Docker Swarm qui sert à orchestrer des containers répartis sur plusieurs hôtes Docker (cluster de Dockers). »