Docker-Container als Sicherheitsmaßnahme für Webanwendungen ?
Hi, wir haben diverse Webanwendungen. Dynamische Webseiten mit perl, php und Java (Tomcat) in Verbindung mit MySQL- oder Postgres-Datenbanken. Diese sind teilweise vom Internet zugänglich und unter dem Gesichtspunkt der Sicherheit bestenfalls als suboptimal zu bezeichnen. Ich denke über die Absicherung dieser nach. Selbstverständlich installiere ich die Sicherheitspatches für Tomcat und Apache httpd zeitnah. Zum einen denke ich an AppArmor. Ich habe dies bisher noch nicht genutzt, aber einiges drüber gelesen. Dadurch daß man die Anwendungen mit dem Lernmodus monitoren kann, es teilweise bereits Profile gibt und die Syntax der Konfigurationsdateien auch machbar aussieht, scheint mir die Lösung gar nicht übel und auch stemmbar. Die andere Idee sind Container für die Webanwendungen. Auch hier habe ich keine praktischen Erfahrungen und bisher nur einiges gelesen. Auch hier scheinen ja die Anwendungen gekapselt zu sein, haben nur beschränkt Zugriff auf z.B. das Dateisystems des hosts, sehen nur ihre eigenen Prozesse ... Außerdem kann man jeder Webanwendung die notwendige Umgebung individuell zur Verfügung stellen, sprich notwendige Bibliotheken, JRE, php- oder perl-Version ... Was ich mich aber frage: Kann ich, und wenn ja wie, einen "containerisierten" httpd oder tomcat noch ganz normal mit zypper aktualisieren, sprich patches einspielen ? Docker gefällt mir insoweit gut, als das ich hier 2 Fliegen mir einer Klappe schlagen kann: individuelle Umgebung zur Verfügung stellen und Sicherheit durch Kapselung. Was haltet Ihr für die bessere Lösung ? Bernd -- Bernd Lentes Systemadministration institute of developmental genetics Gebäude 35.34 - Raum 208 HelmholtzZentrum München bernd.lentes@helmholtz-muenchen.de phone: +49 (0)89 3187 1241 fax: +49 (0)89 3187 2294 Wer Visionen hat soll zum Hausarzt gehen Helmut Schmidt Helmholtz Zentrum Muenchen Deutsches Forschungszentrum fuer Gesundheit und Umwelt (GmbH) Ingolstaedter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir'in Baerbel Brumme-Bothe Geschaeftsfuehrer: Prof. Dr. Guenther Wess, Dr. Alfons Enhsen, Renate Schlusen (komm.) Registergericht: Amtsgericht Muenchen HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Mon, 14 Mar 2016 15:17:03 +0100 (CET) schrieb "Lentes, Bernd" <bernd.lentes@helmholtz-muenchen.de>:
Hi,
wir haben diverse Webanwendungen. Dynamische Webseiten mit perl, php und Java (Tomcat) in Verbindung mit MySQL- oder Postgres-Datenbanken. Diese sind teilweise vom Internet zugänglich und unter dem Gesichtspunkt der Sicherheit bestenfalls als suboptimal zu bezeichnen. Ich denke über die Absicherung dieser nach. Selbstverständlich installiere ich die Sicherheitspatches für Tomcat und Apache httpd zeitnah.
Zum einen denke ich an AppArmor. Ich habe dies bisher noch nicht genutzt, aber einiges drüber gelesen. Dadurch daß man die Anwendungen mit dem Lernmodus monitoren kann, es teilweise bereits Profile gibt und die Syntax der Konfigurationsdateien auch machbar aussieht, scheint mir die Lösung gar nicht übel und auch stemmbar.
Die andere Idee sind Container für die Webanwendungen. Auch hier habe ich keine praktischen Erfahrungen und bisher nur einiges gelesen. Auch hier scheinen ja die Anwendungen gekapselt zu sein, haben nur beschränkt Zugriff auf z.B. das Dateisystems des hosts, sehen nur ihre eigenen Prozesse ... Außerdem kann man jeder Webanwendung die notwendige Umgebung individuell zur Verfügung stellen, sprich notwendige Bibliotheken, JRE, php- oder perl-Version ...
Was ich mich aber frage: Kann ich, und wenn ja wie, einen "containerisierten" httpd oder tomcat noch ganz normal mit zypper aktualisieren, sprich patches einspielen ? Docker gefällt mir insoweit gut, als das ich hier 2 Fliegen mir einer Klappe schlagen kann: individuelle Umgebung zur Verfügung stellen und Sicherheit durch Kapselung.
Was haltet Ihr für die bessere Lösung ?
Abhängig von den Performance-Anforderungen würde ich Docker empfehlen. Der Docker-Container benötigt nur ein minimales Betriebssystem, das allerdings auf wichtige Dienste und Funktionen des Hostsystems erfordert. Versuche mal, ein minimales Docker-Image zu bauen und experimentiere damit. -Dieter -- Dieter Klünter | Systemberatung http://sys4.de GPG Key ID: E9ED159B 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
----- On Mar 14, 2016, at 3:17 PM, Bernd Lentes bernd.lentes@helmholtz-muenchen.de wrote:
Hi,
wir haben diverse Webanwendungen. Dynamische Webseiten mit perl, php und Java (Tomcat) in Verbindung mit MySQL- oder Postgres-Datenbanken. Diese sind teilweise vom Internet zugänglich und unter dem Gesichtspunkt der Sicherheit bestenfalls als suboptimal zu bezeichnen. Ich denke über die Absicherung dieser nach. Selbstverständlich installiere ich die Sicherheitspatches für Tomcat und Apache httpd zeitnah.
Zum einen denke ich an AppArmor. Ich habe dies bisher noch nicht genutzt, aber einiges drüber gelesen. Dadurch daß man die Anwendungen mit dem Lernmodus monitoren kann, es teilweise bereits Profile gibt und die Syntax der Konfigurationsdateien auch machbar aussieht, scheint mir die Lösung gar nicht übel und auch stemmbar.
Die andere Idee sind Container für die Webanwendungen. Auch hier habe ich keine praktischen Erfahrungen und bisher nur einiges gelesen. Auch hier scheinen ja die Anwendungen gekapselt zu sein, haben nur beschränkt Zugriff auf z.B. das Dateisystems des hosts, sehen nur ihre eigenen Prozesse ... Außerdem kann man jeder Webanwendung die notwendige Umgebung individuell zur Verfügung stellen, sprich notwendige Bibliotheken, JRE, php- oder perl-Version ...
Was ich mich aber frage: Kann ich, und wenn ja wie, einen "containerisierten" httpd oder tomcat noch ganz normal mit zypper aktualisieren, sprich patches einspielen ? Docker gefällt mir insoweit gut, als das ich hier 2 Fliegen mir einer Klappe schlagen kann: individuelle Umgebung zur Verfügung stellen und Sicherheit durch Kapselung.
Was haltet Ihr für die bessere Lösung ?
Hi, hat sich erledigt. SuSE empfiehlt den Einsatz nur auf SLES12 und aktueller, da wohl Fähigkeiten gebraucht werden , die nur in aktuellen kernel enthalten sind. Wir haben SLES 11 SP4. Dann setzte ich auf AppArmor. Hier gibt's einen ganz netten Webcast (in dem ich u.a. die Info bzgl. SLES 11 erfahren habe): https://www.brighttalk.com/webcast/11477/172633?autoclick=true&utm_source=brighttalk-recommend&utm_campaign=followup&utm_medium=email&utm_content=organic Ich glaub da braucht man einen account. Bernd Helmholtz Zentrum Muenchen Deutsches Forschungszentrum fuer Gesundheit und Umwelt (GmbH) Ingolstaedter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir'in Baerbel Brumme-Bothe Geschaeftsfuehrer: Prof. Dr. Guenther Wess, Dr. Alfons Enhsen, Renate Schlusen (komm.) Registergericht: Amtsgericht Muenchen HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (2)
-
Dieter Klünter -
Lentes, Bernd