Bases de base de sécurité Docker que vous devez connaître

Cet article vous apporte des connaissances pertinentes sur la base de sécurité dans Docker, y compris la configuration du service et les autorisations de fichiers ainsi que les problèmes liés à l'audit de sécurité. J'espère qu'il sera utile à tout le monde.

Docker Security Baseline

Configuration du service

1. Risque élevé - Restreindre le trafic réseau entre les conteneurs

Description :

Par défaut, toutes les communications réseau sont autorisées entre les conteneurs sur le même hôte. Si cela n’est pas nécessaire, limitez toutes les communications entre conteneurs. Enchaînez des conteneurs spécifiques qui doivent communiquer entre eux. Par défaut, le trafic réseau sans restriction est activé entre tous les conteneurs sur le même hôte. Par conséquent, chaque conteneur a le potentiel de lire tous les paquets sur l’ensemble du réseau de conteneurs sur le même hôte. Cela peut entraîner une fuite d’informations inattendue et inutile vers d’autres conteneurs. Par conséquent, limitez la communication entre conteneurs.

Suggestion de renforcement :

Exécutez Docker en mode démon et passez **–icc=false** comme paramètre. Par exemple,

/usr/bin/dockerd --icc=false/usr/bin/dockerd --icc=false

若使用systemctl管理docker服务则需要编辑

/usr/lib/systemd/system/docker.service

文件中的ExecStart参数添加 –icc=false项 然后重启docker服务

systemctl daemon-reload
systemctl restart docker

2.高危-禁止使用特权容器

描述：

使用–privileged标志将所有Linux内核功能赋予容器，从而覆盖–cap-add和–cap-drop标志。 确保不使用它。 --privileged标志为容器提供了所有功能，并且还解除了设备cgroup控制器强制执行的所有限制。 换句话说，容器可以完成主机可以做的几乎所有事情。 存在此标志是为了允许特殊用例，例如在Docker中运行Docker

加固建议：

不要使用--privileged标志运行容器

3.高危-限制容器的内存使用量

描述：

默认情况下，Docker主机上的所有容器均等地共享资源。 通过使用Docker主机的资源管理功能（例如内存限制），您可以控制容器可能消耗的内存量。 默认情况下，容器可以使用主机上的所有内存。 您可以使用内存限制机制来防止由于一个容器消耗主机的所有资源而导致的服务拒绝，从而使同一主机上的其他容器无法执行其预期的功能。 对内存没有限制可能会导致一个问题，即一个容器很容易使整个系统不稳定并因此无法使用。

加固建议

仅使用所需的内存来运行容器。 始终使用--memory参数运行容器。 您应该按以下方式启动容器：docker run --interactive --tty --memory 256m <Container Image Name or ID>

4.高危-将容器的根文件系统挂载为只读

描述:

容器的根文件系统应被视为“黄金映像”，并且应避免对根文件系统的任何写操作。 您应该显式定义用于写入的容器卷。 您不应该在容器中写入数据。 属于容器的数据量应明确定义和管理。 在管理员控制他们希望开发人员在何处写入文件和错误的许多情况下，这很有用。

加固建议:

添加“ --read-only”标志，以允许将容器的根文件系统挂载为只读。 可以将其与卷结合使用，以强制容器的过程仅写入要保留的位置。 您应该按以下方式运行容器：

docker run --interactive --tty --read-only --volume <writable-volume> <Container Image Name or ID> <Command>

如果您是k8s或其他容器编排软件编排的容器，请按照相应的安全策略配置或忽略。

5.高危-设置日志记录级别

描述：

设置适当的日志级别，将Docker守护程序配置为记录您以后想要查看的事件。 基本日志级别为“ info”及更高版本将捕获除调试日志以外的所有日志。 直到且除非有必要，否则您不应在“debug”日志级别运行Docker守护程序

加固建议：

运行Docker守护程序，如下所示：

dockerd --log-level=info

若以systemctl管理docker服务则需要编辑/usr/lib/systemd/system/docker.service的ExecStart参数添加--log-level="info"

Si vous utilisez systemctl pour gérer le service docker, vous devez modifier

/usr/lib/systemd /system/docker.service

Ajoutez l'élément

–icc=false

au paramètre ExecStart dans le fichier, puis redémarrez le service docker

systemctl stop docker
systemctl start docker

2. Risque élevé - interdire l'utilisation de conteneurs privilégiés

. 🎜🎜Description : 🎜🎜Utilisez l'indicateur –privileged pour tous les noyaux Linux. Les capacités sont données au conteneur, remplaçant ainsi les indicateurs --cap-add et --cap-drop. Assurez-vous de ne pas l'utiliser. L'indicateur --privileged fournit toutes les fonctionnalités du conteneur et lève également toutes les restrictions appliquées par le contrôleur de groupe de contrôle du périphérique. En d’autres termes, les conteneurs peuvent faire presque tout ce qu’un hôte peut faire. Cet indicateur existe pour permettre des cas d'utilisation spéciaux, tels que l'exécution de Docker dans Docker 🎜🎜Recommandations de renforcement : 🎜🎜Ne pas exécuter de conteneurs avec l'indicateur --privileged 🎜🎜🎜3. utilisation du conteneur 🎜🎜🎜Description : 🎜🎜Par défaut, tous les conteneurs sur un hôte Docker partagent les ressources de manière égale. En utilisant les fonctionnalités de gestion des ressources de l'hôte Docker, telles que les limites de mémoire, vous pouvez contrôler la quantité de mémoire qu'un conteneur peut consommer. Par défaut, les conteneurs peuvent utiliser toute la mémoire de la machine hôte. Vous pouvez utiliser un mécanisme de limitation de mémoire pour empêcher un déni de service dû au fait qu'un conteneur consomme toutes les ressources de l'hôte, empêchant ainsi d'autres conteneurs sur le même hôte d'exécuter leurs fonctions prévues. N'avoir aucune limite de mémoire peut conduire à un problème où un conteneur peut facilement rendre l'ensemble du système instable et donc inutilisable. 🎜🎜Recommandations de renforcement🎜🎜Utilisez uniquement la mémoire requise pour exécuter le conteneur. Exécutez toujours le conteneur avec le paramètre --memory. Vous devez démarrer le conteneur comme suit : docker run --interactive --tty --memory 256m <Container Image Name or ID>🎜🎜🎜4. Risque élevé - Montez le système de fichiers racine du. conteneur Est en lecture seule 🎜🎜🎜 Description : 🎜🎜Le système de fichiers racine d'un conteneur doit être considéré comme une "image dorée" et toute écriture sur le système de fichiers racine doit être évitée. Vous devez définir explicitement le volume du conteneur pour l'écriture. Vous ne devez pas écrire de données dans le conteneur. La quantité de données appartenant à un conteneur doit être clairement définie et gérée. Ceci est utile dans de nombreuses situations où les administrateurs contrôlent l'endroit où ils souhaitent que les développeurs écrivent les fichiers et les erreurs. 🎜🎜Suggestion de renforcement : 🎜🎜Ajoutez l'indicateur "--read-only" pour permettre au système de fichiers racine du conteneur d'être monté en lecture seule. Cela peut être utilisé conjointement avec des volumes pour forcer les processus d'un conteneur à écrire uniquement dans des emplacements destinés à être préservés. Vous devez exécuter le conteneur comme suit : 🎜

systemctl daemon-reload
systemctl restart docker

🎜Si vous êtes un conteneur orchestré par k8s ou un autre logiciel d'orchestration de conteneurs, veuillez le configurer ou l'ignorer conformément à la politique de sécurité correspondante. 🎜

🎜🎜5. Risque élevé - Définir le niveau de journalisation 🎜🎜🎜Description : 🎜🎜Définissez le niveau de journalisation approprié pour configurer le démon Docker pour enregistrer les événements que vous souhaitez consulter ultérieurement. Les niveaux de journalisation de base « info » et supérieurs captureront tous les journaux à l'exception des journaux de débogage. Vous ne devez pas exécuter le démon Docker au niveau de journalisation "debug" jusqu'à ce que et sauf si cela est nécessaire 🎜🎜 Recommandations de renforcement : 🎜🎜 Exécutez le démon Docker comme suit : 🎜

systemctl daemon-reload
systemctl restart docker

🎜 Besoin de modifier si vous gérez le service Docker avec systemctl Add --log-level="info" au paramètre ExecStart de >/usr/lib/systemd/system/docker.service, et redémarrez docker🎜

chown root:root /usr/lib/systemd/system/docker.service
chmod 644 /usr/lib/systemd/system/docker.service
chown root:root /usr/lib/systemd/system/docker.socket
chmod 644 /usr/lib/systemd/system/docker.socket
chown root:root /etc/docker
chmod 755 /etc/docker

🎜🎜6. a autorisé les modifications Docker d'iptables 🎜🎜🎜 Description : 🎜🎜iptables est utilisé pour définir, maintenir et vérifier les tables de règles de filtrage de paquets IP dans le noyau Linux. Autorisez le démon Docker à apporter des modifications à iptables. Si vous choisissez de faire cela, Docker n'apportera jamais de modifications aux règles iptables de votre système. S'il est autorisé, le serveur Docker apportera automatiquement les modifications requises à iptables en fonction de la façon dont vous sélectionnez les options réseau pour le conteneur. Il est recommandé de laisser le serveur Docker apporter automatiquement des modifications à iptables pour éviter les erreurs de configuration du réseau, qui pourraient entraver la communication entre les conteneurs et avec le monde extérieur. De plus, cela évite d'avoir à mettre à jour iptables chaque fois que vous choisissez d'exécuter un conteneur ou de modifier les options réseau. 🎜🎜Suggestions de renforcement :🎜

不使用’–iptables = false’参数运行Docker守护程序。 若以systemctl管理docker服务则需要编辑/usr/lib/systemd/system/docker.service的ExecStart参数删除--iptables = false， 重启docker服务

systemctl daemon-reload
systemctl restart docker

7.高危-禁止使用aufs存储驱动程序

描述：

“aufs”存储驱动程序是最早的存储驱动程序。 它基于Linux内核补丁集，该补丁集不太可能合并到主要Linux内核中。 并且已知“ aufs”驱动程序会导致一些严重的内核崩溃。 'aufs’刚刚获得了Docker的支持。 最重要的是，许多使用最新Linux内核的Linux发行版都不支持’aufs’驱动程序。

加固建议：

不要明确使用“ aufs”作为存储驱动程序。 例如，请勿按以下方式启动Docker守护程序： 若以systemctl管理docker服务则需要编辑/usr/lib/systemd/system/docker.service的ExecStart参数删除--storage-driver aufs重启docker服务

systemctl daemon-reload
systemctl restart docker

8.高危-禁止在容器上挂载敏感的主机系统目录

描述：

不允许将以下敏感的主机系统目录作为容器卷挂载，尤其是在读写模式下。

/boot /dev /etc /lib /proc /sys /usr

如果敏感目录以读写模式挂载，则可以对那些敏感目录中的文件进行更改。 这些更改可能会降低安全隐患或不必要的更改，这些更改可能会使Docker主机处于受损状态

如果您是k8s或其他容器编排软件编排的容器，请依照相应的安全策略配置或忽略。

加固建议：

不要在容器上挂载主机敏感目录，尤其是在读写模式下

9.高危-禁止共享主机的进程名称空间

描述

进程ID（PID）命名空间隔离了进程ID号空间，这意味着不同PID命名空间中的进程可以具有相同的PID。 这是容器和主机之间的进程级别隔离。

PID名称空间提供了流程分离。 PID命名空间删除了系统进程的视图，并允许进程ID重复使用，包括PID1。如果主机的PID命名空间与容器共享，则它将基本上允许容器内的进程查看主机上的所有进程。 系统。 这破坏了主机和容器之间的进程级别隔离的好处。 有权访问容器的人最终可以知道主机系统上正在运行的所有进程，甚至可以从容器内部杀死主机系统进程。 这可能是灾难性的。 因此，请勿与容器共享主机的进程名称空间。

加固建议：

不要使用--pid = host参数启动容器。

10.中危-为Docker启动内容信任

描述：

默认情况下禁用内容信任。 您应该启用它。 内容信任提供了将数字签名用于发送到远程Docker注册表和从远程Docker注册表接收的数据的功能。 这些签名允许客户端验证特定图像标签的完整性和发布者。 这确保了容器图像的出处

加固建议：

要在bash shell中启用内容信任，请输入以下命令：export DOCKER_CONTENT_TRUST=1 或者，在您的配置文件中设置此环境变量，以便在每次登录时启用内容信任。 内容信任目前仅适用于公共Docker Hub的用户。 当前不适用于Docker Trusted Registry或私有注册表。

文件权限

11.高危-确认docker相关文件权限适合

描述：

确保可能包含敏感参数的文件和目录的安全对确保Docker守护程序的正确和安全运行至关重要

加固建议：

执行以下命令为docker相关文件配置权限：

chown root:root /usr/lib/systemd/system/docker.service
chmod 644 /usr/lib/systemd/system/docker.service
chown root:root /usr/lib/systemd/system/docker.socket
chmod 644 /usr/lib/systemd/system/docker.socket
chown root:root /etc/docker
chmod 755 /etc/docker

若文件路径与实际系统中不同可以使用以下命令获取文件路径：

systemctl show -p FragmentPath docker.socket
systemctl show -p FragmentPath docker.service

12.高危-确保docker.sock不被挂载

描述：
docker.sock挂载的容器容易被获取特殊权限，一旦危险进入到docker中，严重影响了宿主机的安全.

加固建议：

按照提示<image name> <container name>查找启动的docker容器 ， 以非docker挂载docker.sock的形式重新启动容器

docker stop <container name>

docker run [OPTIONS] <image name>或docker run [OPTIONS]

安全审计

13.高危-审核Docker文件和目录

描述：

除了审核常规的Linux文件系统和系统调用之外，还审核所有与Docker相关的文件和目录。 Docker守护程序以“ root”特权运行。 其行为取决于某些关键文件和目录。如 /var/lib/docker、/etc/docker、docker.service、 docker.socket、/usr/bin/docker-containerd、/usr/bin/docker-runc等文件和目录

加固建议：

在/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件中添加以下行：

-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/docker-containerd -k docker
-w /usr/bin/docker-runc -k docker

然后，重新启动audit程序 service auditd restart.

推荐学习：《docker视频教程》

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!