Pencegahan Serangan Permukaan Terhadap Docker Daemon Menggunakan Mode Rootless

Authors

  • Reyhan Rahmansyah Telkomuniversity
  • Vera Suryani Telkomuniversity
  • Fazmah Arif Yulianto Telkomuniversity

Abstract

Abstrak Teknologi containerization menjadi salah satu alternatif dalam virtualisasi. Docker membutuhkan docker daemon untuk membangun, mendistribusikan, dan menjalankan container sehingga membuat docker tidak aman karena docker daemon rentan terserang oleh serangan permukaan (Docker Daemon Attack Surface). Serangan tersebut ialah serangan terhadap docker daemon yang mengambil alih akses (root). Pencegahan serangan dilakukan menggunakan rootless mode. Dalam tugas akhir ini, dilakukan pencegahan serangan docker daemon attack surface dengan membuat dan menjalankan docker container lalu mencegah serangan tersebut menggunakan docker dalam rootless mode sehingga seragan gagal dilakukan. Pembuktian bahwa serangan berhasil ialah pengguna dapat mengakses file /etc/shadow yang seharusnya file tersebut hanya dapat diakses oleh user yang mempunyai hak akses root. Didapatkan pernyataan bahwa file tersebut tidak dapat diakses jika docker dijalankan dengan rootless mode. Untuk mengukur apakah penggunaan rootless mode pada docker ini menambah beban CPU usage dan seberapa besar peningkatannya, maka dilakukan pengukuran CPU usage saat serangan dilakukan dengan docker yang dijalankan melalui hak akses root dan rootless mode. Didapatkan hasil penggunaan CPU sebesar 39% saat menggunakan docker dengan rootless mode. Sedangkan menggunakan docker dengan hak akses root hanya sebesar 0%. Peningkatan yang terjadi sebesar 39% merupakan peningkatan yang sepadan dengan keuntungannya yang dapat mencegah serangan docker daemon attack surface.

Kata kunci : docker, container, daemon, rootless, root, privilege.

Abstract Containerization technology is an alternative in virtualization. Docker requires a docker daemon to build, distribute, and run containers so it makes the docker unsafe because the docker daemon is vulnerable to attack by the surface attacks (Docker Daemon Attack Surface). The attack is an attack on the docker daemon which takes over access (root). Prevention of attacks is done using by rootless mode. In this final project, docker daemon attack surface is prevented by creating and running a docker image and then preventing the attack using the docker in a rootless mode so the attack fails. Proof that the attack was successful is that the user can access the /etc/shadow file, which should only be accessible by users who have root privileges. Obtained a statement that the file cannot be accessed if the docker is running in rootless mode. To measure whether the use of the rootless mode on this docker adds to the burden of CPU usage and how much it increased, the CPU usage is measured when an attack is carried out with a docker that is run through root and rootless mode permissions. Obtained CPU usage results of 39% when using the docker with rootless mode. Whereas using a docker with root privileges is only 0%. The increase that occurred by 39% is an increase commensurate with its benefits that can prevent docker daemon attack surface.

Keywords: docker, container, daemon, rootless, root, privilege

Downloads

Published

2020-08-01

Issue

Section

Program Studi S1 Teknik Industri