Kapitel 3. Kontrollgruppen
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
In diesem Kapitel lernst du einen der grundlegenden Bausteine kennen, die für die Erstellung von Containern verwendet werden: Kontrollgruppen, besser bekannt als cgroups.
C-Gruppen begrenzen die Ressourcen wie Arbeitsspeicher, CPU und Netzwerkeingabe/-ausgabe, die eine Gruppe von Prozessen nutzen kann. Aus der Sicherheitsperspektive können gut abgestimmte C-Gruppen sicherstellen, dass ein Prozess nicht das Verhalten anderer Prozesse beeinflussen kann, indem er alle Ressourcen in Anspruch nimmt - zum Beispiel die gesamte CPU oder den gesamten Speicher, um andere Anwendungen auszuhungern. Es gibt auch eine Kontrollgruppe namens pid, mit der die Gesamtzahl der zulässigen Prozesse innerhalb einer Kontrollgruppe begrenzt werden kann, um die Wirksamkeit einer Fork-Bombe zu verhindern.
Hinweis
Eine Fork-Bombe erzeugt schnell Prozesse, die wiederum weitere Prozesse erzeugen, was zu einem exponentiellen Wachstum des Ressourcenverbrauchs führt, der den Rechner schließlich lahmlegt. In diesem Video eines Vortrags, den ich vor ein paar Jahren gehalten habe, wird gezeigt, wie man mit der pid-Kontrollgruppe die Auswirkungen einer Forkbomb begrenzen kann.
Wie du in Kapitel 4 im Detail sehen wirst, laufen Container wie reguläre Linux-Prozesse. Deshalb können cgroups verwendet werden, um die Ressourcen zu begrenzen, die jedem Container ...
Get Container Sicherheit now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
