ComputerBase Menü
Aktuelles

Ist Docker sicher?

T

Timotime

Lieutenant
Registriert
Juli 2007
Beiträge
940
Hallo Zusammen,

kurze Frage zu Docker, auf die ich bei Google keine wirkliche Antwort finde.
Ich möchte gerne eine Software testen, die als Dockercontainer ausgeliefert wird.

Bestehen hier grundsätzlich Sicherheitsrisiken oder ist Docker vollständig von meinem System isoliert, ähnlich wie ich es bei einer VM machen könnte? Ich würde den Container gerne auf meinem NAS oder auf meinem iMac testen, habe aber Angst, dass die Software verseucht ist, Viren beinhaltet, Keylogger beinhaltet, irgendwie Zugriff auf mein Daten erhält, usw. usf.

Ich habe schon versucht Docker innerhalb einer VM (Parallels) zum laufen zu bringen.
Allerdings gab es hier andere Probleme.


Kann dazu kurz Jemand ein Statement abgeben?
Danke.
 
https://resources.whitesourcesoftware.com/blog-whitesource/docker-container-security

Ein x-belibiger Treffer aus Google...
"Use trusted, secure images" was bei dir anscheinend nicht zutriff, wenn du deine beschriebenden Bedenken dabei hast, also sein lassen.

Grundsätzlich ist Docker anfälliger für Angriffe, als eine reine Virtualisierung, da ein Docker-Container teile des Host-Systems mitbenutzt, also von diesem nicht vollständig isoliert ist.

EDIT:
Da gibts ein Artikel darüber: https://www.linux-magazin.de/ausgaben/2015/10/container/
(der Artikel ist schon etwas älter, es könnten und sind wohl auch schon einige Anpassungen seitens Docker erfolgt, aber trotzdem gilt "Use trusted, secure images", wie so überall anders in der Softwarewelt auch ;) )

Auch beim Einsatz von Docker-Containern, vor allem in Produktivumgebungen, muss man sich Gedanken um die Absicherung dieser machen. Einfach mal ein Image reinwerfen würde ich nicht, wenn das Image unsicher konfiguriert ist, kann das schnell gefährlich werden.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Timotime und tony_mont4n4
Um welches Image geht es denn? Bzw. was bringt dich zu deinen Bedenken hinsichtlich Keyloggern/Schadsoftware?
 
Hellblazer schrieb:
EDIT:
Da gibts ein Artikel darüber: https://www.linux-magazin.de/ausgaben/2015/10/container/
(der Artikel ist schon etwas älter, es könnten und sind wohl auch schon einige Anpassungen seitens Docker erfolgt, aber trotzdem gilt "Use trusted, secure images", wie so überall anders in der Softwarewelt auch ;) )

Auch beim Einsatz von Docker-Containern, vor allem in Produktivumgebungen, muss man sich Gedanken um die Absicherung dieser machen. Einfach mal ein Image reinwerfen würde ich nicht, wenn das Image unsicher konfiguriert ist, kann das schnell gefährlich werden.
Zum Vergrößern anklicken....

Habe mir auch mal die erste Seite durchgelesen.
Für Unternehmen, die etwas auf Sicherheit gehen, ist das alles überhaupt gar kein Problem mehr. Absicherung über KeyCloak etc. sind mittlerweile Standard. Wer sich aber als Laie da ran traut, der hat vermutlich zu viel auf einmal zu lernen/zu tun.

Wenn man weiß, was benötigt wird, kann der ganze andere Rest abgeschaltet werden, dann ist man schon einmal bissl sicherer unterwegs.
 
  • Gefällt mir
Reaktionen: Timotime
Ich sags mal so: Es ist nicht "trusted und secure"... es besteht zumindest eine große Chance, dass es das nicht ist. Und wenn dem so ist, dann scheint Docker leider nicht die richtige Lösung zu sein. Also werde ich Docker irgendwie in der VM zum laufen bringen müssen. Danke dir.
 
Für Docker in einer Windows-VM brauchst du Nested Virtualization, da Docker da selbst nochmal eine VM mit Hyper-V macht (außer du nutzt das WSL2 Backend, aber auch da wird Nest Virtualisierung gebraucht). Mit einer Linux-VM sollte es einfach so laufen, da hier direkt die Kernel-Features genutzt werden.

Wenn du Docker for Windows mit Hyper-V Backend nutzt, laufen die Container direkt in einer VM, daher hättest du so dein Ziel des Isolieren direkt. Zugriff aufs Hostssystem bekommts dann ja nur über "Proxies", wenn du diese einrichtest (bind mounts, host network, etc.).
 
  • Gefällt mir
Reaktionen: Timotime
Die Chance besteht auch bei jedem Betriebssystem und jeder Hardware, also zieht dein Argument nicht wirklich.

Habe 25 Docker Container laufen und keiner von denen ist verseucht.
 
  • Gefällt mir
Reaktionen: rambodieschen
@Endless Storm Für Unternehmen weniger ein Problem, aber was hat KeyCloak damit zu tun?

Ich hab privat einige Services auf einem Server laufen.
Unter anderem einen IdentityServer4 (.Net-Framework Keycloak-Äquivalent) für Authenfizierung in meinen eigenen Anwendungen...
Da kam mir dann auch Docker in den Sinn. Nach einigem Einlesen bezüglich Absicherung von Docker bin ich da wieder abgerückt. Gerade Images mit meinen Anwendungen zu konfigurieren... theoretisch müsste ich für das Image nochmal alle Schritte zur Absicherung durchgehen, die ich mit dem Root-Server selbst schon durchgegangen bin. Zu viel Aufwand für meine privaten Projekte.

Bei Fremdimages bist du immer davon abhängig, dass die sicher konfiguriert sind oder musst es selbst verifizieren. Wir hatten im Studium mit Docker "herumgespielt". Da lief die Anwendung grundsätzlich mit Rootrechten drin, waren halt "Laborzwecke" und Sicherheit egal. Will jetzt aber nicht Wissen, wie viele der Studierenden sich da nicht über die Risiken bewusst waren.

Wenn man eh nur im Heimnetz unterwegs ist, ist das aber wieder was anderes. War auch am überlegn für meine lokale Seafile-Cloud einfach ein Dockerimage zu nehmen, ist ja sowieso nur im lokalen Netzt erreichbar, habs aber auch sein lassen...
 
  • Gefällt mir
Reaktionen: Timotime
Und weil du 25 Container laufen hast ist keiner der im www verfügbaren Container kompromittiert?!
Ist ja auch immer eine Sache von trusted source und selbst dann kann man nicht immer zu 100% sicher sein. Scheinbar hat der TE ja kein vertrauen in seine Source und dementsprechend bedenken. Wenn denn Deine aus einer Dir bekannten und vertrauten Quelle stammen mag das sein das diese nicht kompromittiert sind, aber der TE ist sich halt nicht sicher...
 
  • Gefällt mir
Reaktionen: Timotime
sourcefreak schrieb:
Die Chance besteht auch bei jedem Betriebssystem und jeder Hardware, also zieht dein Argument nicht wirklich.

Habe 25 Docker Container laufen und keiner von denen ist verseucht.
Zum Vergrößern anklicken....
Meinst du mich?
Du, glaub mir doch einfach, wenn ich dir sage, dass die Software definitiv nicht vertrauenswürdig ist und es mich nicht wundern würde, wenn da was drin versteckt ist.

Mir ist schon klar, dass man sich theoretisch immer irgendwas einfangen kann.
 
@Timotime gibts die Software auch ohne Docker-Container? Das wäre dann einfach auf einer VM zum laufen zu bekommen.
 
  • Gefällt mir
Reaktionen: Timotime
@Hellblazer Ja, gibt es. Habe ich auch. bereits versucht. Es läuft... aber nicht ganz so wie ich mir das vorstelle. Deshalb hätte ich gerne den Docker-Container ausprobiert. Dennoch danke für den Hinweis :-)
 
  • Gefällt mir
Reaktionen: Hellblazer
dcX3 schrieb:
Und weil du 25 Container laufen hast ist keiner der im www verfügbaren Container kompromittiert?!
Zum Vergrößern anklicken....

Habe ich das geschrieben?

Timotime schrieb:
Du, glaub mir doch einfach, wenn ich dir sage, dass die Software definitiv nicht vertrauenswürdig ist und es mich nicht wundern würde, wenn da was drin versteckt ist.
Zum Vergrößern anklicken....

Um welche Software handelt es sich?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Don-DCH
Debian 13 Docker setzt Ordner Owner teilweise automatisch wie geht das?
Antworten
1
Aufrufe
804
abcddcba
A
Krik
docker macvlan - Port Mapping möglich?
Antworten
9
Aufrufe
803
Uridium
Uridium
KJAMP
PiHole Docker Silicon Mac M2
Antworten
13
Aufrufe
734
KJAMP
KJAMP
Krik
Docker - Immich startet nicht, DB-Auth-Fehler
Antworten
7
Aufrufe
1.195
Blackeye33
B
V
Paperless NGX & Docker Sicherheit
Antworten
6
Aufrufe
2.492
Vog3lm4nn
V
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz