Docker 1.3.2发布：修复重大安全问题

tiyan

Docker 1.3.2发布：修复重大安全问题
　　Docker无疑是当下最火的应用程序容器引擎，它彻底释放了虚拟化的威力，让应用的分发、部署和管理都变得非常地高效和容易。继10月份发布1.3.0之后时隔一个多月，其开发团队再次发布了Docker 1.3.2。新版本最吸引人的地方就是它修复了 CVE-2014-6407和 CVE-2014-6408 这两个重要的安全问题，另外新版本还解决了一些Bug。
　　在之前的版本中，攻击者能够通过Docker容器的漏洞提高权限，在受影响的系统上远程执行代码，Docker 1.3.2解决了这一问题，
新版本在提取镜像的时候会对其进行额外的检查，同时所有的提取工作都会在一个对本地文件系统拥有有限访问权限的“chroot”沙箱环境中进行。但是需要
注意的是：该问题并没有针对老版本Docker的补丁，如果想要解决这一问题，那么必须进行升级。另外，新版本也修复了攻击者可以在容器升级时将恶意安全
选项应用到镜像的Bug，在1.3.2中应用到镜像的安全选项会被忽略。
　　守护进程方面，新版本改善并增强了docker run命令的--insecure-registry标记。主要的修复内容如下，如果想要获取更多的信息，可以点击这里。

• 　　用户现在可以通过设定一个子网为Docker指定不安全的Registry范围
  
• 　　在默认情况下，新版本将“localhost”定义为不安全的Registry
  
• 　　用户可以使用无类别域间路由（Classless Inter-Domain Routing，CIDR）格式引用Registry
  
• 　　镜像被启用的时候会跳过试验性的Registry v2 API
  

　　

Docker 1.3发布：增加安全机制及进程注入
　　10月16日，Docker发布了1.3版本。历经45个贡献者的多达750次代码提交，这次发布的版本除了进行以往发布例行的质量改善以外，还增加了不少有用的新功能，如数字签名机制、进程注入、更好的镜像创建方式以及安全选项，下面对这几个功能进行逐一介绍：
数字签名机制
　　在这个版本中，Docker引擎将使用数字签名机制自动分析所有官方Docker镜像库（Repo）的来源和完整性。这种机制可以发现官方镜像库可
能存在的入侵，从一定程度上保证镜像使用过程中的可信度。Docker团队表示，该机制只是接下来要发布的众多新特性之一，更多的还包括镜像分发商和用户
经常会用到的身份验证，PKI管理以及镜像加密等。作为首次发布，该特性还处于继续研发的阶段，目前如果Docker引擎发现使用的镜像被入侵，只会抛出
一个警告，而不是阻止用户继续使用该镜像。在未来的版本中，该特性将会被进一步增强，严格过滤恶意镜像。
Docker exec：进程注入
　　在开发基于Docker的应用过程中，开发者可能需要运行时查看应用。诸如nsinit和nsenter这样的工具，在过去的开发过程中，在一定程
度上起到了作用，但是这些都是第三方工具，需要开发者自己去寻找、学习和管理。本次发布中，有了一个新的命令exec，可以让开发者轻松在Docker容
器里通过API和命令行工具生成进程，比如：
$ docker exec ubuntu_bash -it bash　　就会在ubuntu_bash这个容器中运行bash。
　　进一步来讲，通过提供exec命令，开发者就拥有了更灵活的应用开发调试助手。
Docker create：更加细化的镜像创建方式
　　之前开发者都是使用run命令来创建容器，并在其中运行应用。随着Docker的广泛应用，越来越多的开发者要求对容器的创建有更加细致的控制，本
次发布的create命令就是解决这个需求的。通过run命令，开发者可以创建但是不去运行容器，稍后可以使用start和stop命令来控制容器的生命
周期。
安全选项
　　可能国内很多同仁所关心的就是这个特性了，Docker命令行工具新增加了一个参数，--security-opt，为用户设定个性化的
SELinux和AppArmor标签和属性。比如，需要设置一个安全选项，让容器只能监听Apache端口，假设这个策略命名为
svirt_apache，那么就可以通过如下命令完成这个需求：
$ docker run --security-opt label:type:svirt_apache -i -t centos bash　　这样做的好处就是，Docker容器不一定要运行在支持SELinux的内核上，也无需用—privileged参数运行，避免了很多安全隐患。
　　此外本次发布还有Mac OS X下的共享目录工具boot2docker。
　　

　　参考资料：

　　http://www.infoq.com/cn/news/2014/11/docker-1.3.2-release-safe

　　http://www.infoq.com/cn/news/2014/10/docker-1.3-release