[0045] 對(duì)于容器中的文件系統(tǒng)都是掛載到了真實(shí)系統(tǒng)中的一個(gè)目錄下面的,該目錄可以 稱之為掛載路徑:/var/lib/docker/containers/〈image-long-id>/rootfs〇
[0046] 對(duì)于 Docker 容器內(nèi)部的數(shù)據(jù)���,例如�,/root@df3880cl7466:/#ll/total 68/ drwxr-xr-x 2 root root 4096 Jul 22 22:51 bin�,可以稱之為容器路徑D
[0047] 所有Docker容器都是通過(guò)Ixc來(lái)進(jìn)行管理的,而Ixc的配置文件是存儲(chǔ)在下面這 個(gè)目錄中的:/var/lib/docker/containers/〈image-long-id>/config. Ixc0 根據(jù) Ixc 配置 文件的存儲(chǔ)目錄和Docker容器的掛載路徑可知����,Ixc配置文件和Docker容器都是存儲(chǔ)在/ var/lib/docker/containers/〈image-long-id> 下,但又不再同一個(gè)文件夾下 D
[0048] 其中����,image-long-id是Docker容器對(duì)應(yīng)生成的唯一性編碼D例如�����,一個(gè)Docker 容器的掛載路徑可以包括:/var/lib/docker/containers/inspur0bl7407575cd642a6b7da 3c7e417a55fad5bbd63152f89921925626d2b6/rootfs〇
[0049] 綜上可以獲知�����,Docker容器中數(shù)據(jù)的真實(shí)目錄需要包括容器路徑和掛載路徑�。例 如��,/var/lib/docker/containers/〈image-long-id>/rootfs/root@df3880cl7466:/#11/ total 68/drwxr-xr-x 2 root root 4096 Jul 22 22:51 bin〇
[0050] 對(duì)于不同的Docker容器����,掛載點(diǎn)是不一樣的���,相應(yīng)地��,不同Docker容器的掛載目 錄不同���。而Docker容器是不能穿越其根目錄上一級(jí)去訪問(wèn)其他Docker容器的數(shù)據(jù)的,因 此���,每一個(gè)Docker容器都做到了文件系統(tǒng)的隔離��,從而保證了 Docker容器內(nèi)數(shù)據(jù)的安全 性��。
[0051 ] 在本實(shí)施例中��,為了進(jìn)一步提高Docker容器內(nèi)數(shù)據(jù)的安全性���,可以在Docker容器 的各個(gè)層次上在增加一層防護(hù)���。該增加的一層防護(hù)可以包括強(qiáng)制訪問(wèn)控制策略,因此����,需要 設(shè)置位于當(dāng)前Docker容器外部的請(qǐng)求端具有對(duì)當(dāng)前Docker容器內(nèi)部數(shù)據(jù)所對(duì)應(yīng)的掛載 路徑和容器路徑的訪問(wèn)權(quán)限。其中��,該位于當(dāng)前Docker容器外部的該請(qǐng)求端包括文件�、目 錄、進(jìn)程����、注冊(cè)表和服務(wù)中的任意一種。
[0052] 該強(qiáng)制訪問(wèn)控制策略的主要元素可以包括主體����、客體和權(quán)限�����;語(yǔ)義可以包括主體 對(duì)客體具有的權(quán)限�。比如主體是/bin/cat����,客體是/home/testuser/cardinfo. txt讀取,表 不 /bin/cat 可以讀取 /home/testuser/cardinfo. txt〇
[0053] 其中��,可以設(shè)置如下強(qiáng)制訪問(wèn)控制策略:
[0054] 1���、設(shè)置位于當(dāng)前Docker容器外部的請(qǐng)求端具有對(duì)當(dāng)前Docker容器內(nèi)部數(shù)據(jù)所對(duì) 應(yīng)的掛載路徑和容器路徑的讀操作權(quán)限和/或?qū)懖僮鳈?quán)限。
[0055] 例如��,設(shè)置位于當(dāng)前Docker容器外部的/bin/cat�、/dockerapp具有對(duì)當(dāng)前 Docker 容器內(nèi)部數(shù)據(jù) /var/lib/docker/containers/〈image-long-id>/rootfs/root@ df3880cl7466:/#ll/total 68/drwxr-xr-x 2 root root 4096 Jul 22 22:51 bin 的讀寫 操作權(quán)限。
[0056] 2����、設(shè)置位于當(dāng)前Docker容器外部的任何一個(gè)請(qǐng)求端都不具有對(duì)當(dāng)前Docker容器 內(nèi)部的數(shù)據(jù)所對(duì)應(yīng)的掛載路徑和容器路徑的訪問(wèn)權(quán)限。
[0057] 例如����,設(shè)置位于當(dāng)前Docker容器外部的任何一個(gè)請(qǐng)求端都不具有對(duì)當(dāng)前 Docker 容器內(nèi)部數(shù)據(jù) /var/lib/docker/containers/〈image-long-id>/rootfs/root@ df3880cl7466:/#ll/total 68/drwxr-xr-x 2 root root 4096 Jul 22 22:51 bin 的訪問(wèn) 權(quán)限�。
[0058] 3�����、設(shè)置位于當(dāng)前Docker容器外部的請(qǐng)求端具有在設(shè)定時(shí)間段內(nèi)��,對(duì)當(dāng)前Docker 容器內(nèi)部數(shù)據(jù)所對(duì)應(yīng)的掛載路徑和容器路徑的訪問(wèn)權(quán)限����。
[0059] 例如,設(shè)置位于當(dāng)前Docker容器外部的/bin/cat具有在每天12:00-18:00的時(shí) 間段內(nèi)�����,對(duì)當(dāng)前 Docker 容器內(nèi)部數(shù)據(jù) /var/lib/docker/containers/〈image-long-id>/ rootfs/rootidf3880cl7466:/#ll/total 68/drwxr-xr-x 2 root root 4096 Jul 22 22:51 bin的讀寫操作權(quán)限��。
[0060] 步驟202 :將相應(yīng)地的掛載路徑和容器路徑發(fā)送至對(duì)當(dāng)前Docker容器內(nèi)部數(shù)據(jù) 所對(duì)應(yīng)的掛載路徑和容器路徑具有訪問(wèn)權(quán)限的位于當(dāng)前Docker容器外部的請(qǐng)求端���。
[0061] 由于Docker容器外部的請(qǐng)求端不知道Docker容器內(nèi)部數(shù)據(jù)所對(duì)應(yīng)的掛載路徑和 容器路徑�,且有一些請(qǐng)求端需要訪問(wèn)Docker容器內(nèi)的數(shù)據(jù)����,因此��,需要將Docker容器內(nèi)部 數(shù)據(jù)所對(duì)應(yīng)的掛載路徑和容器路徑發(fā)送至對(duì)所對(duì)應(yīng)的掛載路徑和容器路徑具有訪問(wèn)權(quán)限 的位于當(dāng)前Docker容器外部的請(qǐng)求端����,從而能夠?qū)崿F(xiàn)Docker容器外部具有權(quán)限的請(qǐng)求端 的正常訪問(wèn)�����。
[0062] 步驟203 :獲取外部的目標(biāo)請(qǐng)求端對(duì)當(dāng)前Docker容器內(nèi)部的目標(biāo)數(shù)據(jù)的訪問(wèn)請(qǐng) 求����。
[0063] 例如,獲取外部的目標(biāo)請(qǐng)求端包括/bin/cat����,當(dāng)前Docker容器內(nèi)部的目標(biāo)數(shù)據(jù) 是 /var/lib/docker/containers/<image-1ong-id>/rootfs/rootidf3880c17466:/#11/ total 68/drwxr-xr-x 2 root root 4096 Jul 22 22:51 bin,其訪問(wèn)請(qǐng)求是對(duì)該目標(biāo)數(shù)據(jù) 進(jìn)行讀操作�����。
[0064] 步驟204 :根據(jù)預(yù)先設(shè)置的訪問(wèn)權(quán)限�����,判斷所述目標(biāo)請(qǐng)求端是否具有對(duì)所述目標(biāo) 數(shù)據(jù)所對(duì)應(yīng)的目標(biāo)掛載路徑和目標(biāo)容器路徑的訪問(wèn)權(quán)限�。
[0065] 假設(shè),本實(shí)施例中預(yù)先設(shè)置的訪問(wèn)權(quán)限包括設(shè)置位于當(dāng)前Docker容器外部的/ bin/cat具有在每天12:00-18:00的時(shí)間段內(nèi)�,對(duì)當(dāng)前Docker容器內(nèi)部數(shù)據(jù)/var/lib/ docker/containers/<image-long-id>/rootfs/rootidf3880cI7466:/#ll/total 68/ drwxr-xr-x 2 root root 4096 Jul 22 22:51 bin 的讀寫操作權(quán)限。
[0066] 那么���,需要確定當(dāng)前目標(biāo)請(qǐng)求端/bin/cat的訪問(wèn)時(shí)間�����,若該訪問(wèn)時(shí)間位于設(shè)定的 每天12:00-18:00的時(shí)間段內(nèi)����,則確定/bin/cat具有對(duì)目標(biāo)數(shù)據(jù)所對(duì)應(yīng)的目標(biāo)掛載路徑和 目標(biāo)容器路徑的訪問(wèn)權(quán)限�,否則,則確定/bin/cat不具有對(duì)目標(biāo)數(shù)據(jù)所對(duì)應(yīng)的目標(biāo)掛載路 徑和目標(biāo)容器路徑的訪問(wèn)權(quán)限��。
[0067] 步驟205 :在判斷結(jié)果為是時(shí)���,允許目標(biāo)請(qǐng)求端訪問(wèn)目標(biāo)掛載路徑和容器路徑所 對(duì)應(yīng)的目標(biāo)數(shù)據(jù)���。
[0068] 根據(jù)本方案,通過(guò)設(shè)置位于當(dāng)前Docker容器外部的請(qǐng)求端具有對(duì)當(dāng)前Docker容 器內(nèi)部數(shù)據(jù)所對(duì)應(yīng)的掛載路徑和容器路徑的訪問(wèn)權(quán)限�����,即使有黑客獲知到Docker容器內(nèi) 數(shù)據(jù)的掛載路徑和容器路徑,也無(wú)法直接訪問(wèn)該數(shù)據(jù)�,通過(guò)設(shè)置的訪問(wèn)權(quán)限對(duì)訪問(wèn)請(qǐng)求進(jìn) 行強(qiáng)制訪問(wèn)控制,以使對(duì)掛載路徑和容器路徑具有訪問(wèn)權(quán)限的外部請(qǐng)求端才能夠?qū)υ撃繕?biāo) 數(shù)據(jù)的進(jìn)行訪問(wèn)�����,從而進(jìn)一步提高了數(shù)據(jù)的安全性��。
[0069] 如圖3��、圖4所示�,本發(fā)明實(shí)施例提供了一種Docker容器內(nèi)數(shù)據(jù)的訪問(wèn)裝置。裝 置實(shí)施例可以通過(guò)軟件實(shí)現(xiàn)����,也可以通過(guò)硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。從硬件層面而 言�����,如圖3所示��,為本發(fā)明實(shí)施例Docker容器內(nèi)