本發明公開了一種基于命名空間的Docker文件訪問控制方法，包括以下步驟：S1：將Docker安裝在宿主機中，通過管理員在管理平臺配置安全訪問策略；S2：將安全訪問策略下發至宿主機；S3：接收安全訪問策略；S4：利用安全訪問策略控制宿主機中的訪問關系；S5：進行Docker白名單維護；S6：進行Docker進程訪問控制。本發明所提出的對于Docker內部文件訪問控制方法屬于一種“命名空間隔離的安全”技術，命名空間提供了最基礎也最直接的隔離，實現了對Docker內部文件的強制訪問控制。

技術領域

本發明屬于Docker文件安全技術領域，具體涉及一種基于命名空間的Docker文件訪問控制方法。

背景技術

在當前云平臺技術迅速發展的環境下，服務器的負載、維護和能耗等問題嚴重影響了云平臺資源的管理效率。Docker的出現提高了云平臺資源的管理效率，加快了應用的開發、部署和維護。Docker是一種重視安全的容器技術，在很多方面都提供了強大的安全性配置，包括容器root用戶的Capability能力限制、Seccomp系統調用過濾、Apparmor的MAC訪問控制、ulimit限制、pid-limits的支持和鏡像簽名機制等。

當前Docker內部的程序可以訪問主機的文件，宿主機程序也可以訪問Docker內部的文件，這就造成了Docker容器內部安全隱患，攻擊者一旦突破宿主機的防御，便能夠輕而易舉的訪問Docker容器內部文件，竊取或篡改文件數據，給用戶和使用者造成損失。對此，本專利提出了一種對Docker內部的文件進行強制訪問控制的方法，以保證Docker容器內部文件的訪問安全。

發明內容

本發明的目的是為了解決Docker容器內部文件的訪問安全的問題，提出了一種基于命名空間的Docker文件訪問控制方法。

本發明的技術方案是：一種基于命名空間的Docker文件訪問控制方法包括以下步驟：

S1：將Docker安裝在宿主機中，通過管理員在管理平臺配置安全訪問策略；

S2：利用管理平臺將安全訪問策略下發至安裝有Docker的宿主機；

S3：由宿主機中的客戶端代理接收安全訪問策略；

S4：利用安全訪問策略控制宿主機中的訪問關系；

S5：對控制訪問關系后的宿主機進行Docker白名單維護；

S6：對完成白名單維護后的Docker進行Docker進程訪問控制，完成Docker文件訪問控制流程。

本發明的有益效果是：本發明所提出的對于Docker內部文件訪問控制方法屬于一種“命名空間隔離的安全”技術，命名空間提供了最基礎也最直接的隔離，實現了對Docker內部文件的強制訪問控制。同時由管理平臺下發作用于客戶端內核級的安全策略，根據命名作用于對Docker容器內的文件進行安全訪問控制，維護Docker容器內部文件安全，安全可靠；且支持服務器文件權限和Docker內部文件權限。

進一步地，步驟S1中，安全訪問策略為宿主機中程序和文件的訪問關系，每個安全訪問策略都對應一個“Docker鏡像：鏡像ID”的域名。

上述進一步方案的有益效果是：在本發明中，對于Docker內部文件，采用域名的方法來進行強制訪問控制；域名就是Docker容器的“Docker鏡像：鏡像ID”，程序和文件都要冠以域名；程序和文件的訪問關系就是安全訪問策略；每個安全訪問策略都有一個域名；域名相同的程序和文件才能進行訪問，否則不能訪問；所有的訪問控制機制都是要在一個域名之內方能起作用，否則拒絕訪問。

進一步地，步驟S5包括以下子步驟：

S51：通過采集命令“Apphash”啟動Docker白名單掃描流程；