Heim > Betrieb und Instandhaltung > Docker > Docker-Sicherheitsgrundsätze, die Sie kennen müssen

Docker-Sicherheitsgrundsätze, die Sie kennen müssen

WBOY
Freigeben: 2022-01-26 17:30:47
nach vorne
3464 Leute haben es durchsucht

Dieser Artikel vermittelt Ihnen relevantes Wissen über die Sicherheitsbasis in Docker, einschließlich Dienstkonfiguration und Dateiberechtigungen sowie Fragen im Zusammenhang mit Sicherheitsüberprüfungen. Ich hoffe, dass er für alle hilfreich ist.

Docker-Sicherheitsgrundsätze, die Sie kennen müssen

Docker-Sicherheitsgrundlinie

Dienstkonfiguration

1. Hohes Risiko – Netzwerkverkehr zwischen Containern einschränken

Beschreibung:

Standardmäßig ist die gesamte Netzwerkkommunikation zwischen Containern auf demselben Host zulässig. Wenn nicht erforderlich, schränken Sie die gesamte Kommunikation zwischen Containern ein. Verketten Sie bestimmte Container, die miteinander kommunizieren müssen. Standardmäßig ist uneingeschränkter Netzwerkverkehr zwischen allen Containern auf demselben Host aktiviert. Daher hat jeder Container das Potenzial, alle Pakete im gesamten Netzwerk von Containern auf demselben Host zu lesen. Dies kann zu unerwarteten und unnötigen Informationslecks in andere Container führen. Beschränken Sie daher die Kommunikation zwischen Containern.

Härtungsvorschlag:

Führen Sie Docker im Daemon-Modus aus und übergeben Sie **–icc=false** als Argument. Beispiel:

/usr/bin/dockerd --icc=false/usr/bin/dockerd --icc=false

若使用systemctl管理docker服务则需要编辑

/usr/lib/systemd/system/docker.service

文件中的ExecStart参数添加 –icc=false项 然后重启docker服务

systemctl daemon-reload
systemctl restart docker
Nach dem Login kopieren
Nach dem Login kopieren
Nach dem Login kopieren
Nach dem Login kopieren
Nach dem Login kopieren

2.高危-禁止使用特权容器

描述:

使用–privileged标志将所有Linux内核功能赋予容器,从而覆盖–cap-add和–cap-drop标志。 确保不使用它。 --privileged标志为容器提供了所有功能,并且还解除了设备cgroup控制器强制执行的所有限制。 换句话说,容器可以完成主机可以做的几乎所有事情。 存在此标志是为了允许特殊用例,例如在Docker中运行Docker

加固建议:

不要使用--privileged标志运行容器

3.高危-限制容器的内存使用量

描述:

默认情况下,Docker主机上的所有容器均等地共享资源。 通过使用Docker主机的资源管理功能(例如内存限制),您可以控制容器可能消耗的内存量。 默认情况下,容器可以使用主机上的所有内存。 您可以使用内存限制机制来防止由于一个容器消耗主机的所有资源而导致的服务拒绝,从而使同一主机上的其他容器无法执行其预期的功能。 对内存没有限制可能会导致一个问题,即一个容器很容易使整个系统不稳定并因此无法使用。

加固建议

仅使用所需的内存来运行容器。 始终使用--memory参数运行容器。 您应该按以下方式启动容器:docker run --interactive --tty --memory 256m <Container Image Name or ID>

4.高危-将容器的根文件系统挂载为只读

描述:

容器的根文件系统应被视为“黄金映像”,并且应避免对根文件系统的任何写操作。 您应该显式定义用于写入的容器卷。 您不应该在容器中写入数据。 属于容器的数据量应明确定义和管理。 在管理员控制他们希望开发人员在何处写入文件和错误的许多情况下,这很有用。

加固建议:

添加“ --read-only”标志,以允许将容器的根文件系统挂载为只读。 可以将其与卷结合使用,以强制容器的过程仅写入要保留的位置。 您应该按以下方式运行容器:

docker run --interactive --tty --read-only --volume <writable-volume> <Container Image Name or ID> <Command>
Nach dem Login kopieren

如果您是k8s或其他容器编排软件编排的容器,请按照相应的安全策略配置或忽略。

5.高危-设置日志记录级别

描述:

设置适当的日志级别,将Docker守护程序配置为记录您以后想要查看的事件。 基本日志级别为“ info”及更高版本将捕获除调试日志以外的所有日志。 直到且除非有必要,否则您不应在“debug”日志级别运行Docker守护程序

加固建议:

运行Docker守护程序,如下所示:

dockerd --log-level=info
Nach dem Login kopieren

若以systemctl管理docker服务则需要编辑/usr/lib/systemd/system/docker.service的ExecStart参数添加--log-level="info"

Wenn Sie systemctl zum Verwalten des Docker-Dienstes verwenden, müssen Sie

/usr/lib/systemd bearbeiten /system/docker.service

Fügen Sie das Element

–icc=false

zum ExecStart-Parameter in der Datei hinzu und starten Sie dann den Docker-Dienst neu

systemctl stop docker
systemctl start docker
Nach dem Login kopieren

2. Hohes Risiko – verbieten Sie die Verwendung privilegierter Container

🎜🎜Beschreibung: 🎜🎜Verwenden Sie das Flag –privileged für alle Linux-Kernel. Dem Container werden Funktionen zugewiesen, wodurch die Flags --cap-add und --cap-drop überschrieben werden. Stellen Sie sicher, dass Sie es nicht verwenden. Das Flag --privileged stellt dem Container alle Funktionen zur Verfügung und hebt außerdem alle vom cgroup-Controller des Geräts erzwungenen Einschränkungen auf. Mit anderen Worten: Container können fast alles, was ein Host kann. Dieses Flag existiert, um spezielle Anwendungsfälle zu ermöglichen, wie zum Beispiel die Ausführung von Docker innerhalb von Docker. 🎜🎜Empfehlungen zur Absicherung: 🎜🎜Führen Sie keine Container mit dem Flag --privileged aus. 🎜🎜🎜3. Hohes Risiko – begrenzen Sie den Speicher Nutzung des Containers 🎜🎜🎜Beschreibung: 🎜🎜Standardmäßig teilen sich alle Container auf einem Docker-Host Ressourcen gleichermaßen. Durch die Verwendung der Ressourcenverwaltungsfunktionen des Docker-Hosts, z. B. Speicherlimits, können Sie steuern, wie viel Speicher ein Container verbrauchen darf. Standardmäßig können Container den gesamten Speicher auf dem Hostcomputer nutzen. Sie können einen Mechanismus zur Speicherdrosselung verwenden, um Denial-of-Service zu verhindern, weil ein Container alle Ressourcen des Hosts verbraucht, wodurch andere Container auf demselben Host daran gehindert werden, ihre beabsichtigten Funktionen auszuführen. Wenn der Speicher nicht begrenzt ist, kann dies zu dem Problem führen, dass ein Container leicht das gesamte System instabil und damit unbrauchbar machen kann. 🎜🎜Empfehlungen zur Härtung🎜🎜Verwenden Sie nur den erforderlichen Speicher, um den Container auszuführen. Führen Sie den Container immer mit dem Parameter --memory aus. Sie sollten den Container wie folgt starten: docker run --interactive --tty --memory 256m <Container-Image-Name oder -ID>🎜🎜🎜4 Hohes Risiko – Mounten Sie das Root-Dateisystem des Container ist schreibgeschützt 🎜🎜🎜 Beschreibung: 🎜🎜Das Root-Dateisystem eines Containers sollte als „Golden Image“ betrachtet werden und jegliche Schreibvorgänge in das Root-Dateisystem sollten vermieden werden. Sie sollten das Containervolumen zum Schreiben explizit definieren. Sie sollten keine Daten in den Container schreiben. Die zu einem Container gehörende Datenmenge sollte klar definiert und verwaltet werden. Dies ist in vielen Situationen nützlich, in denen Administratoren steuern, wohin Entwickler Dateien und Fehler schreiben sollen. 🎜🎜Härtungsvorschlag: 🎜🎜Fügen Sie das Flag „--read-only“ hinzu, damit das Root-Dateisystem des Containers schreibgeschützt gemountet werden kann. Dies kann in Verbindung mit Volumes verwendet werden, um die Prozesse eines Containers zu zwingen, nur an Speicherorte zu schreiben, die beibehalten werden sollen. Sie sollten den Container wie folgt ausführen: 🎜
systemctl daemon-reload
systemctl restart docker
Nach dem Login kopieren
Nach dem Login kopieren
Nach dem Login kopieren
Nach dem Login kopieren
Nach dem Login kopieren
🎜Wenn Sie ein von k8s oder einer anderen Container-Orchestrierungssoftware orchestrierter Container sind, konfigurieren oder ignorieren Sie ihn bitte gemäß der entsprechenden Sicherheitsrichtlinie. 🎜
🎜🎜5. Hohes Risiko – Protokollierungsstufe festlegen 🎜🎜🎜Beschreibung: 🎜🎜Stellen Sie die entsprechende Protokollierungsstufe ein, um den Docker-Daemon so zu konfigurieren, dass er Ereignisse protokolliert, die Sie später überprüfen möchten. Bei den grundlegenden Protokollebenen „info“ und höher werden alle Protokolle außer Debug-Protokollen erfasst. Sie sollten den Docker-Daemon nicht auf der Protokollebene „Debug“ ausführen, bis dies erforderlich ist. 🎜🎜 Empfehlungen zur Absicherung: 🎜🎜 Führen Sie den Docker-Daemon wie folgt aus: 🎜
systemctl daemon-reload
systemctl restart docker
Nach dem Login kopieren
Nach dem Login kopieren
Nach dem Login kopieren
Nach dem Login kopieren
Nach dem Login kopieren
🎜 Muss bearbeitet werden, wenn der Docker-Dienst mit systemctl Add --log-level="info" zum ExecStart-Parameter von >/usr/lib/systemd/system/docker.service und starten Sie Docker neu🎜
chown root:root /usr/lib/systemd/system/docker.service
chmod 644 /usr/lib/systemd/system/docker.service
chown root:root /usr/lib/systemd/system/docker.socket
chmod 644 /usr/lib/systemd/system/docker.socket
chown root:root /etc/docker
chmod 755 /etc/docker
Nach dem Login kopieren
Nach dem Login kopieren
🎜🎜6. erlaubte Docker-Änderungen an iptables 🎜🎜🎜 Beschreibung: 🎜🎜iptables wird zum Festlegen, Verwalten und Überprüfen von IP-Paketfilter-Regeltabellen im Linux-Kernel verwendet. Erlauben Sie dem Docker-Daemon, Änderungen an iptables vorzunehmen. Wenn Sie sich dafür entscheiden, wird Docker niemals Änderungen an den iptables-Regeln Ihres Systems vornehmen. Sofern zulässig, nimmt der Docker-Server automatisch die erforderlichen Änderungen an iptables vor, je nachdem, wie Sie die Netzwerkoptionen für den Container auswählen. Es wird empfohlen, den Docker-Server automatisch Änderungen an iptables vornehmen zu lassen, um Netzwerkfehlkonfigurationen zu vermeiden, die die Kommunikation zwischen Containern und mit der Außenwelt behindern können. Darüber hinaus entfällt der Aufwand, iptables jedes Mal zu aktualisieren, wenn Sie einen Container ausführen oder Netzwerkoptionen ändern möchten. 🎜🎜Verstärkungsvorschläge:🎜

不使用’–iptables = false’参数运行Docker守护程序。 若以systemctl管理docker服务则需要编辑/usr/lib/systemd/system/docker.service的ExecStart参数删除--iptables = false, 重启docker服务

systemctl daemon-reload
systemctl restart docker
Nach dem Login kopieren
Nach dem Login kopieren
Nach dem Login kopieren
Nach dem Login kopieren
Nach dem Login kopieren

7.高危-禁止使用aufs存储驱动程序

描述:

“aufs”存储驱动程序是最早的存储驱动程序。 它基于Linux内核补丁集,该补丁集不太可能合并到主要Linux内核中。 并且已知“ aufs”驱动程序会导致一些严重的内核崩溃。 'aufs’刚刚获得了Docker的支持。 最重要的是,许多使用最新Linux内核的Linux发行版都不支持’aufs’驱动程序。

加固建议:

不要明确使用“ aufs”作为存储驱动程序。 例如,请勿按以下方式启动Docker守护程序: 若以systemctl管理docker服务则需要编辑/usr/lib/systemd/system/docker.service的ExecStart参数删除--storage-driver aufs重启docker服务

systemctl daemon-reload
systemctl restart docker
Nach dem Login kopieren
Nach dem Login kopieren
Nach dem Login kopieren
Nach dem Login kopieren
Nach dem Login kopieren

8.高危-禁止在容器上挂载敏感的主机系统目录

描述:

不允许将以下敏感的主机系统目录作为容器卷挂载,尤其是在读写模式下。

/boot /dev /etc /lib /proc /sys /usr

如果敏感目录以读写模式挂载,则可以对那些敏感目录中的文件进行更改。 这些更改可能会降低安全隐患或不必要的更改,这些更改可能会使Docker主机处于受损状态

如果您是k8s或其他容器编排软件编排的容器,请依照相应的安全策略配置或忽略。

加固建议:

不要在容器上挂载主机敏感目录,尤其是在读写模式下

9.高危-禁止共享主机的进程名称空间

描述

进程ID(PID)命名空间隔离了进程ID号空间,这意味着不同PID命名空间中的进程可以具有相同的PID。 这是容器和主机之间的进程级别隔离。

PID名称空间提供了流程分离。 PID命名空间删除了系统进程的视图,并允许进程ID重复使用,包括PID1。如果主机的PID命名空间与容器共享,则它将基本上允许容器内的进程查看主机上的所有进程。 系统。 这破坏了主机和容器之间的进程级别隔离的好处。 有权访问容器的人最终可以知道主机系统上正在运行的所有进程,甚至可以从容器内部杀死主机系统进程。 这可能是灾难性的。 因此,请勿与容器共享主机的进程名称空间。

加固建议:

不要使用--pid = host参数启动容器。

10.中危-为Docker启动内容信任

描述:

默认情况下禁用内容信任。 您应该启用它。 内容信任提供了将数字签名用于发送到远程Docker注册表和从远程Docker注册表接收的数据的功能。 这些签名允许客户端验证特定图像标签的完整性和发布者。 这确保了容器图像的出处

加固建议:

要在bash shell中启用内容信任,请输入以下命令:export DOCKER_CONTENT_TRUST=1 或者,在您的配置文件中设置此环境变量,以便在每次登录时启用内容信任。 内容信任目前仅适用于公共Docker Hub的用户。 当前不适用于Docker Trusted Registry或私有注册表。

文件权限

11.高危-确认docker相关文件权限适合

描述:

确保可能包含敏感参数的文件和目录的安全对确保Docker守护程序的正确和安全运行至关重要

加固建议:

执行以下命令为docker相关文件配置权限:

chown root:root /usr/lib/systemd/system/docker.service
chmod 644 /usr/lib/systemd/system/docker.service
chown root:root /usr/lib/systemd/system/docker.socket
chmod 644 /usr/lib/systemd/system/docker.socket
chown root:root /etc/docker
chmod 755 /etc/docker
Nach dem Login kopieren
Nach dem Login kopieren

若文件路径与实际系统中不同可以使用以下命令获取文件路径:

systemctl show -p FragmentPath docker.socket
systemctl show -p FragmentPath docker.service
Nach dem Login kopieren

12.高危-确保docker.sock不被挂载

描述:
docker.sock挂载的容器容易被获取特殊权限,一旦危险进入到docker中,严重影响了宿主机的安全.

加固建议:

按照提示<image name> <container name>查找启动的docker容器 , 以非docker挂载docker.sock的形式重新启动容器

docker stop <container name>

docker run [OPTIONS] <image name>或docker run [OPTIONS]

安全审计

13.高危-审核Docker文件和目录

描述:

除了审核常规的Linux文件系统和系统调用之外,还审核所有与Docker相关的文件和目录。 Docker守护程序以“ root”特权运行。 其行为取决于某些关键文件和目录。如 /var/lib/docker、/etc/docker、docker.service、 docker.socket、/usr/bin/docker-containerd、/usr/bin/docker-runc等文件和目录

加固建议:

在/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件中添加以下行:

-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/docker-containerd -k docker
-w /usr/bin/docker-runc -k docker
Nach dem Login kopieren

然后,重新启动audit程序 service auditd restart.

推荐学习:《docker视频教程

Das obige ist der detaillierte Inhalt vonDocker-Sicherheitsgrundsätze, die Sie kennen müssen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
Quelle:csdn.net
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage