当前位置：首页 > news >正文

Docker安全基线检查需要修复的一些问题

news 文章来源：https://blog.csdn.net/dongjing991/article/details/135605425 2025/5/18 10:59:42

一、可能出现的漏洞

限制容器之间的网络流量
限制容器的内存使用量
为Docker启用内容信任
将容器的根文件系统挂载为只读
审核Docker文件和目录

默认情况下，同一主机上的容器之间允许所有网络通信。如果不需要，请限制所有容器间的通信。将需要相互通信的特定容器链接在一起。默认情况下，同一主机上所有容器之间都启用了不受限制的网络流量。因此，每个容器都有可能读取同一主机上整个容器网络上的所有数据包。这可能会导致意外和不必要的信息泄露给其他容器。因此，限制容器间的通信。

"默认情况下，Docker主机上的所有容器均等地共享资源。通过使用Docker主机的资源管理功能（例如内存限制），您可以控制容器可能消耗的内存量。

默认情况下，容器可以使用主机上的所有内存。您可以使用内存限制机制来防止由于一个容器消耗主机的所有资源而导致的服务拒绝，从而使同一主机上的其他容器无法执行其预期的功能。对内存没有限制可能会导致一个问题，即一个容器很容易使整个系统不稳定并因此无法使用。"

"默认情况下禁用内容信任。您应该启用它。
内容信任提供了将数字签名用于发送到远程Docker注册表和从远程Docker注册表接收的数据的功能。这些签名允许客户端验证特定图像标签的完整性和发布者。这确保了容器图像的出处"
"容器的根文件系统应被视为“黄金映像”，并且应避免对根文件系统的任何写操作。您应该显式定义用于写入的容器卷。

您不应该在容器中写入数据。属于容器的数据量应明确定义和管理。在管理员控制他们希望开发人员在何处写入文件和错误的许多情况下，这很有用。"
除了审核常规的Linux文件系统和系统调用之外，还审核所有与Docker相关的文件和目录。 Docker守护程序以“ root”特权运行。其行为取决于某些关键文件和目录。如 /var/lib/docker、/etc/docker、docker.service、 docker.socket、/usr/bin/docker-containerd、/usr/bin/docker-runc等文件和目录

二、修复建议：

在守护程序模式下运行docker并传递'--icc = false'作为参数。
例如，
```
/usr/bin/dockerd --icc=false
```
若使用systemctl管理docker服务则需要编辑
```
/usr/lib/systemd/system/docker.service
```
文件中的`ExecStart`参数添加 `--icc=false`选项
然后重启docker服务
```
systemctl daemon-reload
systemctl restart docker
```"
"仅使用所需的内存来运行容器。始终使用'--memory'参数运行容器。您应该按以下方式启动容器：
```
docker run --interactive --tty --memory 256m <Container Image Name or ID>
```"
"要在bash shell中启用内容信任，请输入以下命令：`export DOCKER_CONTENT_TRUST=1`
或者，在您的配置文件中（/etc/profile或/etc/profile.d/docker.sh）设置此环境变量，以便在每次登录时启用内容信任。
内容信任目前仅适用于公共Docker Hub的用户。当前不适用于Docker Trusted Registry或私有注册表。"
"添加“ --read-only”标志，以允许将容器的根文件系统挂载为只读。可以将其与卷结合使用，以强制容器的过程仅写入要保留的位置。
您应该按以下方式运行容器：
```
docker run --interactive --tty --read-only --volume <writable-volume> <Container Image Name or ID> <Command>
```
如果您是k8s或其他容器编排软件编排的容器，请按照相应的安全策略配置或忽略。"
"找到/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件（若没有则先确认是否已安装auditd服务），
在文件中添加以下行：
```
-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/docker-containerd -k docker
-w /usr/bin/docker-runc -k docker
-w /usr/bin/containerd -k docker
```
然后，重新启动audit程序。例如
```
service auditd restart
```"

三、修复样例：

一、限制容器之间的网络流量

vim /etc/docker/daemon.json
添加以下内容到 daemon.json 文件中：

{
"icc": false
}

sudo service docker restart

docker restart apollo-configservice
docker restart apollo-portal
docker restart apollo-adminservice

docker restart ctg-eureka
docker restart nginx
systemctl start docker

二、限制容器的内存使用量

docker stats {container_id/container_name}

docker stats apollo-portal
docker stats apollo-configservice
docker stats apollo-adminservice

docker stats ctg-eureka
docker stats nginx

docker update --memory 1GiB --memory-swap -1 apollo-portal
docker update --memory 1GiB --memory-swap -1 apollo-configservice
docker update --memory 1GiB --memory-swap -1 apollo-adminservice

docker update --memory 10GiB --memory-swap -1 ctg-eureka
docker update --memory 10GiB --memory-swap -1 nginx

三、为Docker启用内容信任

vim /etc/profile

export DOCKER_CONTENT_TRUST=1

source /etc/profile

四、将容器的根文件系统挂载为只读

docker run --interactive --tty --read-only --volume <writable-volume> <Container Image Name or ID>

docker run --interactive --tty --read-only --volume /home/docker/apps/eureka/ ctg-eureka

docker run --interactive --tty --read-only --volume /home/docker/apps/nginx/ nginx

例子：
docker run --read-only -v /icanwrite busybox touch /icanwrite/here

五、审核Docker文件和目录

在/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件中添加以下行：

-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/docker-containerd -k docker
-w /usr/bin/docker-runc -k docker

vim /etc/audit/audit.rules
vim /etc/audit/rules.d/audit.rules

-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/docker-containerd -k docker
-w /usr/bin/docker-runc -k docker

service auditd restart

Docker安全基线检查需要修复的一些问题

一、可能出现的漏洞

二、修复建议：

三、修复样例：

相关文章：

Docker安全基线检查需要修复的一些问题

MobX 的 Observable Array，如何转换成一个普通的数组

spring boot集成loback日志配置

【mars3d】 graphic.bindPopup(inthtml).openPopup()无需单击小车，即可在地图上自动激活弹窗的效果。

工厂企业消防安全AI可视化视频智能监管解决方案

【并发编程】synchornized原理

计算机网络-ACL访问控制列表

论文学习记录之SeisInvNet（Deep-Learning Inversion of Seismic Data）

深度学习中的优化方法

【设计模式之美】重构（三）之解耦方法论：如何通过封装、抽象、模块化、中间层等解耦代码？

Spring MVC学习之——Controller类中方法的返回值

IDEA中启动项目报堆内存溢出或者没有足够内存的错误

Angular： DOCUMENT

mybatis-plus批量保存异常及效率优化

查找局域网树莓派raspberry的mac地址和ip

乐观锁与悲观锁：高并发场景下的选择

vue2 省市区联动组件封装

VScode远程开发

芯片设计重要工具—— IBM LSF 分布式高性能计算调度平台

RDMA Scatter Gather List详解

【动态规划】24子数组系列_最长湍流子数组_C++

fastJson和jackson的日期数据处理

书生·浦语大模型实战营第五节课笔记及作业

如何在CentOS 7 中基于OpenSSL 3.0 搭建Python 3.0 环境

爬虫接口获取外汇数据(汇率，外汇储备，贸易顺差，美国CPI，M2，国债利率)

Spring Cloud和微服务架构的关系

C++：通过ofstream写入二进制文件内容

系统配置dns主从服务器

【git】解决网络连接问题

限制API接口访问速率