Методика безопасности, нейтрализующая угрозу эксплуатации

уязвимостей программного обеспечения Docker

Общие

организационные мероприятия

1. При работе с программным обеспечением Docker должны использоваться следующие механизмы комплекса защиты информации, интегрированные в Astra Linux:

   • запуск

1. Работа с Docker должна быть осуществлена в ОС Astra Linux 1.7 с использованием механизмов СЗИ:
   - Запуск

   • гипервизора контейнеров Docker на пониженном уровне целостности

   
   - Установка, включение и применение Docker для работы

   • ;

   • работа с образами и контейнерами Docker в непривилегированном (rootless) режиме

   
   Подробнее https://wiki.astralinux.ru/pages/viewpage.action?pageId=158601444
2. Так же необходимо ограничить доступ к хосту недоверенным пользователям и ограничить доступ к хост-томам доверенными контейнерами
3. Необходимо убедиться, что запускаются только доверенные контейнеры
4. Необходимо отказаться от использования дополнительной настройки Dockerfile путем «USER $USERNAME». Выполнить перезапуск всех контейнеров - дополнительные группы будут настроены корректно

1. CVE-2021-41091
2. CVE-2021-41089
3. CVE-2021-21285
4. CVE-2021-21284

1. • .

   Порядок применения указанных механизмов представлен в статье Установка и администрирование Docker в Astra Linux 1.7.

2. Отключить или удалить неиспользуемые учетные записи пользователей, а также учетные записи недоверенных пользователей.

3. Настроить монтирование файловых ресурсов хостовой машины в контейнер таким образом, чтобы предотвратить нежелательные изменения в конфигурации хостовой машины.
   Описание настроек монтирования файловых ресурсов хостовой машины представлено в документе РУСБ.10015-01 95 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство администратора. Часть 1».

4. Настроить контроль целостности контейнеров и их образов. Для этого следует выполнить действия, описанные в документе РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».

5. При создании образа с использованием докерфайла не применять инструкцию USER.

6. Если применяется аутентификация с помощью Docker Credential helper (ассистента хранилища учетных данных), необходимо убедиться в корректности настроек:

   • в блоках параметров credsStore или credHelpers файла конфигурации (по умолчанию $HOME/.docker/config.json) должно быть указано наименование исполняемого файла ассистента. Например, при использовании docker-credential-yc (ассистента хранилища учетных данных Yandex Cloud) блок параметров credHelpers имеет следующий вид:

     Блок кода
     "credHelpers": { "container-registry.cloud.yandex.net": "yc", "cr.cloud.yandex.net": "yc", "cr.yandex": "yc" }

     В качестве значений параметров указывается наименование, следующее после префикса "docker-credential-";

   • в переменной PATH должен быть указан каталог, в котором размещен исполняемый файл ассистента. Например, при использовании docker-credential-yc (ассистента хранилища учетных данных Yandex Cloud) в переменной PATH указан каталог /home/<имя_пользователя>/yandex-cloud/bin.

Дополнительные действия для устранения угрозы эксплуатации уязвимости режима Swarm Mode

В случае, если развернуты кластеры Docker Swarm необходимо выполнить действия, описанные ниже.

1. В многоузловых кластерах необходимо развернуть глобальный контейнер "pause" для

   каждоый

   каждой зашифрованной

   воерлейной

   overlay-сети на каждом узле. Для этого при создании сервиса нужно

   использовать

   указать образ registry.k8s.io/pause и

   глобальную службу

   параметр "--mode

   global".

2. Заблокировать входящий трафик на

   Необходимо заблокировать

   UDP-порт 4789

   от входящего трафика путем выполнения команды:

   :

   •  с помощью iptables – добавить правило, выполнив в терминале команду, например такого вида: 

     Command
     iptables -A INPUT -m udp —-dport 4789 -m policy --dir in --pol none -j DROP

CVE-2023-28840 и CVE-2023-28841

1. • 
     

     Примечание
     После добавления правила необходимо удостоверится в том, что изменения будут сохранены после перезагрузки ОС. Подробнее — см. Сохранение и восстановление правил iptables.

     
     

   • с помощью межсетевого экрана ufw – добавить правило, выполнив в терминале следующую команду:

     Command
     sudo ufw deny 4789/udp

     
     

2. Необходимо убедиться, что на всех узлах кластера в ядро linux загружается модуль  xt_u32. Для этого следует выполнить команду:

   Command
   lsmod | grep xt_u32

   Если модуль не загружен, то в результате выполнения команд будет пустой вывод.
   Для того чтобы включить загрузку модуля xt_u32 в ядро linux необходимо выполнить следующие действия:

3. Для предотвращения внедрения всех пакетов VXLAN необходимо закрыть порт VXLAN (по умолчанию UDP-порт 4789) для входящего трафика путем выполнения команды:
   iptables -I INPUT -m udp —-dport 4789 -m policy --dir in --pol none -j DROP
4. Необходимо убедиться, что модуль ядра xt_u32 доступен для всех узлов кластера Swarm. Для этого необходимо включить данный модуль путем выполнения команды: $ sudo modprobe xt_u32. Убедиться, что модуль активен $

   1. загрузить модуль xt_u32 в ядро linux командой:

      Command
      sudo modprobe xt_u32

      
      

   2. проверить, что модуль xt_u32 загружен:

      Command

   1. lsmod | grep xt_u32

   и

   1. 
      

   2. обновить текущий образ initramfs командой:

   $

   1. Command
      sudo update-initramfs -u

CVE-2022-36109

1. Отказаться от использования дополнительной настройки Dockerfile путем «USER $USERNAME» и дополнительные группы будут настроены корректно

CVE-2021-41092

1. 1. 
      

   Примечание
   Проверку загрузки модуля  xt_u32 необходимо выполнить для всех используемых ядер linux.

   Убедиться, что настройки credsStore или credHelpers в файле конфигурации ссылаются на установленный помощник по учетным данным, который является исполняемым и находится в PATH