grsec是linux kernel安全相關(guān)的patch, 用于保護(hù)host防止非法入侵。由于其并不是docker的一部分,我們只進(jìn)行簡單的介紹。
grsec可以主要從4個方面保護(hù)進(jìn)程不被非法入侵:
1、隨機地址空間 - 進(jìn)程的堆區(qū)地址是隨機的
2、用只讀的memory management unit來管理進(jìn)程流程, 堆區(qū)和棧區(qū)內(nèi)存只包含數(shù)據(jù)結(jié)構(gòu)/函數(shù)/返回地址和數(shù)據(jù), 是non-executeable
3、審計和Log可疑活動
4、編譯期的防護(hù)
安全永遠(yuǎn)是相對的,這些方法只是告訴我們可以從這些角度考慮container類型的安全問題可以關(guān)注的方面。
