Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Linux コンテナ最近の新機能 / SosaiLT 36th

Avatar for tenforward tenforward
December 14, 2022
Technology
1
210

Linux コンテナ最近の新機能 / SosaiLT 36th

総関西サイバーセキュリティLT大会(第36回)の LT 資料です。
参考となる情報にはPDF中からリンクをしていますが、資料中のリンクは Speaker Deck 上ではクリックできないので PDF をダウンロードしてご覧ください。
Avatar for tenforward

tenforward

December 14, 2022
Tweet

More Decks by tenforward

See All by tenforward
ネットワークだけ隔離されたコンテナ作成デモ / SosaiLT44
Avatar for tenforward tenforward
3
75
ネットワークだけ隔離されたコンテナ作成デモ / Kichijoji.pm36
Avatar for tenforward tenforward
3
890
Linux コンテナの歴史を追うとコンテナの仕組みがわかる / Dai Kichijoji pm
Avatar for tenforward tenforward
36
15k
cgroup v2 で何が変わったのか / TechFeed Experts Night #28
Avatar for tenforward tenforward
2
680
Linuxコンテナの仕組み / eBPF & Container Study in Fukuoka
Avatar for tenforward tenforward
26
5.1k
Linux コンテナのリブートとセキュリティ / SosaiLT 38th
Avatar for tenforward tenforward
6
2.3k
cgroup の歩き方 / TechFeed Experts Night #19
Avatar for tenforward tenforward
1
620
Linux カーネル 最近のコンテナ関連新機能 / TechFeed Experts Night#7
Avatar for tenforward tenforward
6
3.3k
コンテナの歴史を追いながらいまいちどコンテナについておさらいしてみる / Infra Study 2nd #2
Avatar for tenforward tenforward
10
4.3k

Other Decks in Technology

See All in Technology
大規模サーバーレスプロジェクトのリアルな零れ話
Avatar for mai miya maimyyym
3
240
AI駆動で進化する開発プロセス ~クラスメソッドでの実践と成功事例~ / aidd-in-classmethod
Avatar for tomoki10 tomoki10
1
1.2k
Tailwind CSS の小話「コンテナークエリーって便利」
Avatar for Yuki Yamada yamaday
0
130
genspark_presentation.pdf
Avatar for h.uriu haruki_uiru
1
270
水耕栽培に全部賭けろ
Avatar for Mutz mutsumix
0
120
Google Cloud Next 2025 Recap 生成AIモデルとマーケティングでのコンテンツ生成 / Generative AI models and content creation in marketing
Avatar for Kyohei Saito kyou3
0
280
dbtとリバースETLでデータ連携の複雑さに立ち向かう
Avatar for Toru Morooka morookacube
0
940
本当に必要なのは「QAという技術」だった!試行錯誤から生まれた、品質とデリバリーの両取りアプローチ / Turns Out, "QA as a Discipline" Was the Key!
Avatar for ar_tama ar_tama
9
4.7k
計測による継続的なCI/CDの改善
Avatar for SansanTech sansantech
PRO
7
1.7k
AIによるコードレビューで開発体験を向上させよう!
Avatar for Atsushi Nakatsugawa moongift
PRO
0
450
DynamoDB のデータを QuickSight で可視化する際につまづいたこと/stumbling-blocks-when-visualising-dynamodb-with-quicksight
Avatar for emi emiki
0
170
名単体テスト 禁断の傀儡(モック)
Avatar for iwamot iwamot
PRO
1
290

Featured

See All Featured
BBQ
Avatar for Matthew Crist matthewcrist
88
9.6k
Faster Mobile Websites
Avatar for Dean Hume deanohume
307
31k
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
78
6.4k
Writing Fast Ruby
Avatar for Erik Berlin sferik
628
61k
Docker and Python
Avatar for Tania Allard trallard
44
3.4k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
46
14k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
24
2.7k
Making Projects Easy
Avatar for Brett Harned brettharned
116
6.2k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
187
11k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
26k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
110k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
248
1.3M

Transcript

  1. Linux コンテナ最近の新機能 総関西サイバーセキュリティ LT 大会(第 36 回) 加藤泰文 2022-12-14 1/14

  2. 総関西サイバーセキュリティLT大会、36 回の開催おつかれさまでした 2/14

  3. 総関西サイバーセキュリティLT大会、36 回の開催おつかれさまでした 復活を待ってます :-) 2/14

  4. 自己紹介   加藤泰文(かとうやすふみ) • Twitter: @ten_forward • LXC で学ぶコンテナ入門 -軽量仮想化環境を実現

    する技術 (gihyo.jp, 2014 年〜) • 「Linux Container Book (1) Namespace / Network 編」執筆(同人本) • コンテナの勉強会を主宰しています • 趣味でコンテナやってます。コンテナの主にカーネ ル周辺の実装に興味があります • 仕事はセキュリティの部署にいます 3/14

  5. 本日の内容 今日は最近の Linux に実装されたコンテナで使う新機能を紹介します。 4/14

  6. セキュリティイベントなのにコンテナ? • コンテナ=コンテナ内のプロセスから他のコンテナのプロセスが見えないようにする • 一部のコンテナがリソースを食いつくさないように制限をかける • カーネルはコンテナ間で共有なので悪いことができないように各種セキュリティ機能で 固めてる コンテナはセキュリティ機能で固められたプロセス 5/14

  7. User Namespace

  8. User Namespace • 新しい機能ではありません(3.8 〜/2013 年) • 一般ユーザー権限でコンテナが起動で きる •

    ホストの root ≠ コンテナの root 6/14

  9. seccomp notify

  10. seccomp システムコールに対してフィルタリ ングをかけられるセキュリティ機能 で、コンテナ内で危険な操作(システ ムコール呼び出し)が行えないよう にコンテナランタイムでは一般的に 使われている機能(現在の Seccomp Mode 2

    は 3.5 カーネル/2012 年〜) 7/14

  11. seccomp notify • User Namespace を使った一般ユーザー権限で起動するコンテナ内の root(ホスト上 では一般ユーザー)に許可される・許可されない処理はカーネル内で指定されている (初期の User

    Namespace 内で権限があるか確認) • 一般的に危険とされ、許可されない処理でも、コンテナランタイム、コンテナホスト管 理者は「このコンテナにはこの処理を許可しても大丈夫」とわかっている場合がある そこで   5.0 カーネル(2019 年)で seccomp notify 導入(〜5.5 にかけて機能が充実) 8/14

  12. seccomp notify 1. seccomp がシステムコールの実 行を検知 2. 検知したことをユーザー空間のプ ログラム(コンテナランタイム) に通知

    3. 通知を受けたプログラムがシステ ムコール実行の可否を判断し、 カーネルに結果を通知 4. seccomp がその結果に従って処 理を行う(システムコールを実行 or 拒否) 固定的なポリシーで許可・禁止を決めるのではなく、柔軟に実行の可否が設定できるように なった。 (例)ファイルシステムのマウント、デバイスファイルの作成 9/14

  13. seccomp notify をもっと知るには • 第 14 回 コンテナ技術の情報交換会@オンライン(seccomp 回) •

    Introduction to Seccomp(@ mrtc0 さん) • seccomp notify による安全なコンテナ実行環境(@ten_forward) • LXC で学ぶコンテナ入門「第 47 回 非特権コンテナの可能性を広げる seccomp notify 機能」 (gihyo.jp) • Seccomp Notify(brauner’s blog) 10/14

  14. ID mapped mount

  15. 非特権コンテナの場合のコンテナのルートファイルシステム • 非特権ユーザー(例、UID=100000)で コンテナを起動する場合、ホスト上にあ るコンテナ用のルートファイルシステム はそのユーザー(UID:100000)が操作で きる(所有している)必要がある • 普通は所有権 UID/GID:0/0

    だったりしま すね 11/14

  16. ID mapped mount • これまで • chown • 永久に所有権が変わる •

    chown 前にファイルの所有権を確認す る必要がある • コスト高 • ID mapped mount • 5.12 カーネル(2021 年) (ただしファイ ルシステム側のサポートが必要) • 所有権を変更せずに、User Namespace で使うマッピングに従って、コンテナの ファイルシステムのマウントを行う 12/14

  17. まとめ コンテナはこのようないろいろな機能の組み合わせでできています。 いろいろ探ってみると楽しいですよ。 13/14

  18. 以上 ご清聴ありがとうございました 14/14