Zeker, hier zijn uitgebreide aanbevelingen om je Ubuntu 22.04-server en Docker-containeromgeving te beveiligen tegen geavanceerde bedreigingen zoals container escape: 1. Kernbeveiliging en OS-hardening - Gebruik AppArmor: - Ubuntu ondersteunt standaard AppArmor. Configureer en beperk de profielen voor Docker en je containers. - Stel strikte AppArmor-profielen in voor containers om de toegang tot het host-systeem te beperken. - Kernelbeveiliging: - Zorg dat je de nieuwste kernel gebruikt en dat alle beveiligingsupdates geïnstalleerd zijn (`sudo apt update && sudo apt upgrade`). - Overweeg het gebruik van Kernel Self-Protection Modules (KSPM). 2. Docker-beveiliging - Gebruik de nieuwste versie van Docker. - Draai Docker met minimale privileges (`--privileged=false`). - Beperk de toegang tot Docker socket (`/var/run/docker.sock`) en gebruik UNIX-groepen voor toegangscontrole. - Beperk capabilities: - Gebruik `--cap-drop=ALL` en voeg alleen die capabilities toe die echt nodig zijn. - Gebruik seccomp-profielen: - Configureer aangepaste seccomp-profielen om systeemoproepen te beperken. - Gebruik user namespaces: - Schakel user namespaces in om de UID/GID-ruimte van containers te isoleren. - Implement container runtime security: - Overweeg tools zoals `gVisor` of `Katacontainer` voor extra sandboxing. 3. Container- en image-beveiliging - Gebruik alleen vertrouwde en geverifieerde images. - Scan images op kwetsbaarheden vóór gebruik met tools zoals Docker Bench Security, Clair, Trivy of Anchore. - Minimaliseer de container-images: - Gebruik lichte basisimages zoals Alpine. - Verwijder onnodige tools en services uit images. 4. Netwerkbeveiliging - Gebruik Docker netwerken om containers te isoleren. - Beperk de communicatie tussen containers via network policies. - Overweeg het gebruik van firewallregels (bijvoorbeeld via `iptables` of `nftables`) om toegang tot en van containers te beperken. 5. Firewall en netwerkbeveiliging - Configureer `nftables` of `iptables` om alleen noodzakelijke poorten open te stellen. - Overweeg het gebruik van een host-gebaseerde firewall en VPN voor beheer. 6. Monitoring, logging en auditing - Implementeer monitoring tools zoals Prometheus, Grafana, en Falco: - Falco detecteert afwijkingen en mogelijke inbraakpogingen in containers. - Configureer uitgebreide logging: - Log alle containeractiviteiten, systeem- en netwerkverkeer. - Gebruik tools zoals Auditd en Logwatch. - Bewaak container- en host-logs regelmatig. 7. Beveiligingsrichtlijnen en best practices - Beperk het gebruik van root in containers: - Voer containers zoveel mogelijk als niet-root gebruiker uit. - Automatiseer updates en patches: - Gebruik CI/CD pipelines met automatische security scanning. - Voer regelmatige security audits uit met tools zoals Docker Bench Security. 8. Extra beveiligingslagen - Overweeg het gebruik van een container security platform zoals Aqua Security, Prisma Cloud of Twistlock voor uitgebreide bescherming. - Implementeer een Zero Trust model: - Beperk toegang en communicatie tot het minimum. 9. Backup en herstel - Maak regelmatige backups van je containerconfiguraties, images en data. - Test je herstelplannen regelmatig. Door deze stappen te volgen, versterk je de beveiliging van je containeromgeving aanzienlijk en minimaliseer je risico's op container escapes en andere aanvallen.

Zeker, hier is een uitgebreide handleiding om je Ubuntu 22.04-server met Docker te beveiligen tegen geavanceerde dreigingen zoals container-escape. ### 1. Fundamenten Versterken (Voordat je containers draait) #### A. Systeemupdates en Minimale Installatie * **Hou je systeem up-to-date:** Voer regelmatig `sudo apt update && sudo apt upgrade` uit. * **Minimaliseer de aanvalsoppervlakte:** Verwijder onnodige pakketten en diensten. Gebruik `sudo apt autoremove` en `systemctl` om ongebruikte diensten te stoppen en uit te schakelen. #### B. Firewall (UFW) configureren Je hebt een basis firewall, laten we deze specifiek voor Docker instellen. Docker opent automatisch poorten, wat UFW kan omzeilen. 1. **Installeer UFW (indien nog niet geïnstalleerd):** `sudo apt install ufw` 2. **Stel een standaardbeleid in:** ```bash sudo ufw default deny incoming sudo ufw default allow outgoing ``` 3. **Sta alleen essentiële poorten toe** (bijv. SSH - pas de poort aan): ```bash sudo ufw allow 22/tcp # Waarschuwing: Overweeg een niet-standaard SSH-poort te gebruiken. # sudo ufw allow 80/tcp # Alleen toestaan als je een webserver hebt # sudo ufw allow 443/tcp # Alleen toestaan als je een webserver hebt ``` 4. **Beperk Docker's impact op UFW:** Dit is een veelvoorkomend probleem. Je moet Docker vertellen om de `iptables`-regels niet te manipuleren, zodat UFW de controle behoudt. * Maak of bewerk het Docker-daemon-configuratiebestand: `sudo nano /etc/docker/daemon.json` * Voeg het volgende toe: ```json { "iptables": false } ``` * **Belangrijk:** Na deze wijziging **moet je de Docker-containers zelf voorzien van firewall-regels met UFW** (bijv. `sudo ufw allow from 192.168.1.0/24 to any port 8080`) en moet je port forwarding in de `docker run` command gebruiken (`-p 8080:80`). Herstart Docker: `sudo systemctl restart docker`. 5. **Schakel UFW in:** `sudo ufw enable` #### C. Versterk Kernel-Parameters Voeg de volgende regels toe aan `/etc/sysctl.d/99-hardening.conf` en laad ze met `sudo sysctl -p`: ```bash # Voorkom kernel pointer leaks kernel.dmesg_restrict=1 kernel.kptr_restrict=2 # Schakel niet-vereiste kernel-modules uit net.ipv4.ip_forward=0 net.ipv6.conf.all.forwarding=0 # Beveiliging tegen memory-based attacks kernel.kexec_load_disabled=1 net.core.bpf_jit_harden=2 # Verbeter bescherming van gebruikerspace geheugen kernel.unprivileged_bpf_disabled=1 net.ipv4.tcp_syncookies=1 ``` *Opmerking:* `net.ipv4.ip_forward=0` kan problemen veroorzaken bij bepaalde Docker-netwerken. Als je custom netwerken nodig hebt, zet je deze op `1`. ### 2. Docker Daemon en Runtime Beveiliging #### A. Docker Daemon Configuratie Bevestig of pas de eerder gemaakte `/etc/docker/daemon.json` aan met deze cruciale instellingen: ```json { "iptables": false, "userns-remap": "default", "log-driver": "json-file", "log-opts": { "max-size": "10m", "max-file": "3" }, "live-restore": true, "userland-proxy": false, "no-new-privileges": true } ``` * **`userns-remap`:** **Dit is kritiek tegen container-escape.** Het mapt de root-gebruiker binnen de container naar een niet-privileged gebruiker op de host. Je moet de mapping eerst instellen in `/etc/subuid` en `/etc/subgid`. Zie de [Docker-documentatie](https://docs.docker.com/engine/security/userns-remap/) voor details. * **`no-new-privileges`:** Voorkomt dat processen nieuwe privileges verkrijgen. * **`live-restore`:** Zorgt dat containers blijven draaien als de Docker-daemon wordt bijgewerkt of crasht, wat de beschikbaarheid verbetert. Herstart Docker: `sudo systemctl restart docker`. #### B. Beveiligde Container Runtimes Overweeg een container runtime met een sterkere sandbox: * **gVisor:** Een gebruikersspace kernel die een extra beveiligingslaag biedt. Installeer het en run containers met `docker run --runtime=runsc ...`. * **Kata Containers:** Maakt gebruik van lichtgewicht VM's om containers te isoleren, wat een zeer sterke isolatie biedt. ### 3. Container Hardening (Best Practices bij het draaien van containers) Dit zijn de belangrijkste praktijken om container-escape direct tegen te gaan. Gebruik deze flags in je `docker run` commando's of `docker-compose.yml` bestanden. * **Voorkom dat containers als root draaien:** ```bash docker run --user 1000:1000 mijn-image ``` * **Schakel kernel capabilities uit (Principle of Least Privilege):** ```bash docker run --cap-drop=ALL --cap-add=NET_BIND_SERVICE mijn-image # Sta alleen specifiek benodigde capabilities toe. ``` * **Maak de container filesysteem read-only:** ```bash docker run --read-only -v /tmp/writeable-data:/data mijn-image # Gebruik volumes voor schrijfbare paden die nodig zijn. ``` * **Beperk toegang tot de host kernel:** ```bash docker run --security-opt=no-new-privileges:true --security-opt=apparmor=docker-default mijn-image ``` * **Beperk systeemresources (CPU, Geheugen):** ```bash docker run --memory=512m --cpus=1.5 mijn-image ``` * **Vermijd `--privileged` mode tenzij absoluut noodzakelijk.** Dit geeft de container bijna alle capabilities van de host. ### 4. Geavanceerde Beveiligingstools en Monitoring #### A. AppArmor / SELinux Ubuntu gebruikt standaard AppArmor. Er is een default AppArmor-profiel voor Docker (`docker-default`). Je kunt custom, restrictievere profielen schrijven voor specifieke containers. * Controleer de status: `sudo apparmor_status` #### B. Scanning op Kwetsbaarheden Scan je Docker-images voordat je ze draait. * **Trivy:** Een eenvoudige, uitgebreide scanner. ```bash # Installeer Trivy en scan een image trivy image mijn-app:latest ``` * **Grype:** Een andere populaire scanner van Anchore. #### C. Runtime Security Monitoring * **Auditd:** Configureer de Linux Audit Daemon om verdachte activiteiten te loggen (bijv. `sudo auditctl -w /var/lib/docker -k docker`). * **Falco (Aanbevolen):** Een de facto standaard voor runtime security in Kubernetes en Docker. Het detectert afwijkend gedrag, zoals shell-start in een container, onverwachte processen, en **container-escape-pogingen**. * Installeer Falco en het monitort automatisch syscalls voor verdachte patronen. ### 5. Operationele Best Practices 1. **Gebruik multi-stage builds** om kleine, minimale images te bouwen zonder build-tools in de uiteindelijke image. 2. **Verifieer de herkomst van images:** Haal images alleen van vertrouwde registers (Docker Hub Official, je eigen registry) en overweeg image signing met Docker Content Trust (`DOCKER_CONTENT_TRUST=1`). 3. **Roteer geheimen:** Gebruik nooit hardcoded wachtwoorden. Gebruik Docker Secrets (in Swarm) of externe oplossingen zoals HashiCorp Vault. 4. **Update je containers regelmatig:** Houd de basisimages en applicaties in je containers up-to-date met beveiligingspatches. ### Samenvatting van een Veilig `docker run` Commando Een voorbeeld van een goed beveiligde container: ```bash docker run -d \ --name mijn-veilige-container \ --user 1000:1000 \ --read-only \ --cap-drop=ALL \ --security-opt=no-new-privileges:true \ --memory=512m \ --cpus=1.0 \ -v /pad/naar/data:/data:rw \ -p 8080:80 \ mijn-veilige-image:latest ``` **Begin met Falco en Trivy** voor monitoring en scanning. Het implementeren van **gebruikersnaamspace remapping (`userns-remap`)** is een van de meest effectieve stappen om container-escape te mitigeren. Als je vragen hebt over een specifiek onderdeel, laat het me weten!