【技术实现步骤摘要】
一种容器逃逸防护方法、系统、存储介质及设备
[0001]本专利技术涉及虚拟化
,尤其涉及一种容器逃逸防护方法、系统、存储介质及设备。
技术介绍
[0002]近年来,虚拟化技术成为热门技术。基于硬件的虚拟化技术,通常是指虚拟机,而基于操作系统的虚拟化技术,通常是指容器。例如:一台硬件服务器可虚拟多台虚拟机,每台虚拟机又可以虚拟化多个容器。
[0003]Docker(容器)技术目前在DevOps(Development和Operations的组合词,是一组过程、方法与系统的统称)中被广泛使用,通常会将测试或者构建的代码和自动化脚本打包成Docker镜像,然后部署在各个运行环境中。如此一来就会经常在Jenkins(一个开源软件项目,是基于Java开发的一种持续集成工具)容器内运行容器指令执行构建镜像、运行镜像等。Docker in Docker(容器内运行容器指令)为常用方案。但当软件存在漏洞或登录信息泄露,黑客便可利用这些信息入侵至软件所在的容器,之后即可肆意执行容器指令,在宿主机创建非法容器(特权容器),并通过非...
【技术保护点】
【技术特征摘要】
1.一种容器逃逸防护方法,其特征在于,包括以下步骤:获取系统中当前运行进程的指定信息,并基于所述指定信息识别所述当前运行进程是否为容器内进程;响应于所述当前运行进程为所述容器内进程,获取其执行的指令,并判断所述执行的指令是否为容器内指令;响应于所述执行的指令为所述容器内指令,获取所述当前运行进程的命令行参数,并确认其中是否包含创建容器指令以及预置的非法指令参数;响应于所述命令行参数中包含所述创建容器指令以及所述非法指令参数,禁止执行所述创建容器指令。2.根据权利要求1所述的方法,其特征在于,还包括:针对初始运行的容器,在预设时间段内采集其运行过程中使用的指令,并基于所述使用的指令形成安全容器域。3.根据权利要求2所述的方法,其特征在于,还包括:响应于所述命令行参数中包含所述创建容器指令且未包含所述非法指令参数,允许执行所述创建容器指令,并从所述命令行参数中获取所述创建容器指令对应的容器镜像源信息,并将所述容器镜像源信息与所述安全容器域中的信息进行匹配;响应于所述容器镜像源信息匹配到所述安全容器域中的信息,允许创建所述创建容器指令对应的容器。4.根据权利要求3所述的方法,其特征在于,所述安全容器域中的信息包括容器类型及每个类型的容器的数量,所述镜像源信息包括所述创建容器指令对应的容器的类型及数量。5.根据权利要求3所述的方法,其特征在于,还包括:响应于所述容器镜像源信息未匹配到所述安全容器域中的信息,禁止创建所述创建容器指令对应的容器。6.根据权利要求1所述的方法,其特征在于,获取当前运行进程的指定信息,并基于所述指定信息识别所述当前运行进程是否为容器内进程包括:获取当前运行进程的第一命名空间以及当前挂载点的第二命名空间,并分别比较所述第一命...
【专利技术属性】
技术研发人员:甄鹏,唐超,
申请(专利权)人:济南浪潮数据技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。