꼭 알아야 할 Docker 보안 기준
- WBOY앞으로
- 2022-01-26 17:29:333367검색
이 문서는 서비스 구성 및 파일 권한은 물론 보안 감사 관련 문제를 포함하여 Docker의 보안 기준에 대한 관련 지식을 제공합니다.
Docker 보안 기준
서비스 구성
1. 고위험 - 컨테이너 간 네트워크 트래픽 제한
설명:
기본적으로 모든 네트워크 통신은 동일한 호스트의 컨테이너 간에 허용됩니다. 필요하지 않은 경우 모든 컨테이너 간 통신을 제한합니다. 서로 통신해야 하는 특정 컨테이너를 함께 연결합니다. 기본적으로 동일한 호스트의 모든 컨테이너 간에는 무제한 네트워크 트래픽이 활성화됩니다. 따라서 각 컨테이너는 동일한 호스트에 있는 전체 컨테이너 네트워크의 모든 패킷을 읽을 수 있습니다. 이로 인해 예상치 못한 불필요한 정보가 다른 컨테이너로 유출될 수 있습니다. 따라서 컨테이너 간 통신을 제한하세요.
강화 제안:
데몬 모드에서 docker를 실행하고 **–icc=false**를 인수로 전달합니다. 예를 들어
/usr/bin/dockerd --icc=false/usr/bin/dockerd --icc=false
若使用systemctl管理docker服务则需要编辑
/usr/lib/systemd/system/docker.service
文件中的ExecStart参数添加 –icc=false项 然后重启docker服务
systemctl daemon-reload systemctl restart docker
2.高危-禁止使用特权容器
描述:
使用–privileged标志将所有Linux内核功能赋予容器,从而覆盖–cap-add和–cap-drop标志。 确保不使用它。 --privileged标志为容器提供了所有功能,并且还解除了设备cgroup控制器强制执行的所有限制。 换句话说,容器可以完成主机可以做的几乎所有事情。 存在此标志是为了允许特殊用例,例如在Docker中运行Docker
加固建议:
不要使用--privileged标志运行容器
3.高危-限制容器的内存使用量
描述:
默认情况下,Docker主机上的所有容器均等地共享资源。 通过使用Docker主机的资源管理功能(例如内存限制),您可以控制容器可能消耗的内存量。 默认情况下,容器可以使用主机上的所有内存。 您可以使用内存限制机制来防止由于一个容器消耗主机的所有资源而导致的服务拒绝,从而使同一主机上的其他容器无法执行其预期的功能。 对内存没有限制可能会导致一个问题,即一个容器很容易使整个系统不稳定并因此无法使用。
加固建议
仅使用所需的内存来运行容器。 始终使用--memory参数运行容器。 您应该按以下方式启动容器:docker run --interactive --tty --memory 256m <Container Image Name or ID>
4.高危-将容器的根文件系统挂载为只读
描述:
容器的根文件系统应被视为“黄金映像”,并且应避免对根文件系统的任何写操作。 您应该显式定义用于写入的容器卷。 您不应该在容器中写入数据。 属于容器的数据量应明确定义和管理。 在管理员控制他们希望开发人员在何处写入文件和错误的许多情况下,这很有用。
加固建议:
添加“ --read-only”标志,以允许将容器的根文件系统挂载为只读。 可以将其与卷结合使用,以强制容器的过程仅写入要保留的位置。 您应该按以下方式运行容器:
docker run --interactive --tty --read-only --volume <writable-volume> <Container Image Name or ID> <Command>
如果您是k8s或其他容器编排软件编排的容器,请按照相应的安全策略配置或忽略。
5.高危-设置日志记录级别
描述:
设置适当的日志级别,将Docker守护程序配置为记录您以后想要查看的事件。 基本日志级别为“ info”及更高版本将捕获除调试日志以外的所有日志。 直到且除非有必要,否则您不应在“debug”日志级别运行Docker守护程序
加固建议:
运行Docker守护程序,如下所示:
dockerd --log-level=info
若以systemctl管理docker服务则需要编辑/usr/lib/systemd/system/docker.service的ExecStart参数添加--log-level="info"
/usr/lib/systemd를 편집해야 합니다. /system/docker.service
파일의 ExecStart 매개변수에 –icc=false
항목을 추가한 다음 docker 서비스를 다시 시작하세요systemctl stop docker systemctl start docker
2. 위험도 높음 - 권한 있는 컨테이너 사용 금지
🎜🎜설명: 🎜🎜모든 Linux 커널에 –privileged 플래그 사용 기능이 컨테이너에 제공되므로 --cap-add 및 --cap-drop 플래그가 재정의됩니다. 사용하지 않도록 주의하세요. --privileged 플래그는 컨테이너에 모든 기능을 제공하고 장치의 cgroup 컨트롤러에 의해 적용되는 모든 제한 사항을 해제합니다. 즉, 컨테이너는 호스트가 할 수 있는 거의 모든 작업을 수행할 수 있습니다. 이 플래그는 Docker 내에서 Docker를 실행하는 등의 특수 사용 사례를 허용하기 위해 존재합니다. 🎜🎜강화 권장사항: 🎜🎜--privileged 플래그를 사용하여 컨테이너를 실행하지 마세요. 🎜🎜🎜3 위험도 높음 - 메모리 제한 컨테이너 사용법 🎜🎜🎜설명: 🎜🎜기본적으로 Docker 호스트의 모든 컨테이너는 리소스를 동일하게 공유합니다. 메모리 제한과 같은 Docker 호스트의 리소스 관리 기능을 사용하면 컨테이너가 소비할 수 있는 메모리 양을 제어할 수 있습니다. 기본적으로 컨테이너는 호스트 시스템의 모든 메모리를 사용할 수 있습니다. 메모리 조절 메커니즘을 사용하면 하나의 컨테이너가 호스트의 모든 리소스를 소비하여 동일한 호스트의 다른 컨테이너가 의도한 기능을 수행하지 못하게 하여 서비스 거부를 방지할 수 있습니다. 메모리에 제한이 없으면 하나의 컨테이너가 전체 시스템을 쉽게 불안정하게 만들어 사용할 수 없게 만드는 문제가 발생할 수 있습니다. 🎜🎜강화 권장사항🎜🎜컨테이너를 실행하는 데 필요한 메모리만 사용하세요. 항상 --memory 매개변수를 사용하여 컨테이너를 실행하세요. 다음과 같이 컨테이너를 시작해야 합니다. docker run --interactive --tty --memory 256m <컨테이너 이미지 이름 또는 ID>🎜🎜🎜4. 위험도 높음 - 루트 파일 시스템을 마운트합니다. 컨테이너는 읽기 전용입니다. 🎜🎜🎜 설명: 🎜🎜컨테이너의 루트 파일 시스템은 "골든 이미지"로 간주되어야 하며 루트 파일 시스템에 대한 쓰기는 피해야 합니다. 쓰기를 위한 컨테이너 볼륨을 명시적으로 정의해야 합니다. 컨테이너에 데이터를 쓰면 안 됩니다. 컨테이너에 속하는 데이터의 양을 명확하게 정의하고 관리해야 합니다. 이는 관리자가 개발자가 파일과 오류를 기록할 위치를 제어하는 많은 상황에서 유용합니다. 🎜🎜강화 제안: 🎜🎜컨테이너의 루트 파일 시스템을 읽기 전용으로 마운트하려면 "--read-only" 플래그를 추가하세요. 이는 컨테이너의 프로세스가 보존하려는 위치에만 쓰도록 볼륨과 함께 사용할 수 있습니다. 다음과 같이 컨테이너를 실행해야 합니다. 🎜systemctl daemon-reload systemctl restart docker
🎜k8s 또는 기타 컨테이너 오케스트레이션 소프트웨어로 오케스트레이션된 컨테이너인 경우 해당 보안 정책에 따라 구성하거나 무시하세요. 🎜🎜🎜5. 높은 위험 - 로깅 수준 설정 🎜🎜🎜설명: 🎜🎜 나중에 검토할 이벤트를 기록하도록 Docker 데몬을 구성하려면 적절한 로그 수준을 설정하세요. "info" 이상의 기본 로그 수준은 디버그 로그를 제외한 모든 로그를 캡처합니다. 필요한 경우가 아니면 "디버그" 로그 수준에서 Docker 데몬을 실행하면 안 됩니다. 🎜🎜 강화 권장 사항: 🎜🎜 다음과 같이 Docker 데몬을 실행하세요. 🎜
systemctl daemon-reload systemctl restart docker🎜 systemctl
Add --log-level="info"를 >/usr/lib/systemd/system/docker.service의 ExecStart 매개변수에 추가하고 docker🎜chown root:root /usr/lib/systemd/system/docker.service chmod 644 /usr/lib/systemd/system/docker.service chown root:root /usr/lib/systemd/system/docker.socket chmod 644 /usr/lib/systemd/system/docker.socket chown root:root /etc/docker chmod 755 /etc/docker🎜🎜6를 다시 시작하세요. iptables에 대한 Docker 변경 허용 🎜🎜🎜 설명: 🎜🎜iptables는 Linux 커널에서 IP 패킷 필터 규칙 테이블을 설정, 유지 관리 및 확인하는 데 사용됩니다. Docker 데몬이 iptables를 변경할 수 있도록 허용합니다. 이 작업을 선택하면 Docker는 시스템 iptables 규칙을 변경하지 않습니다. 허용되는 경우 Docker 서버는 컨테이너에 대한 네트워크 옵션을 선택하는 방법에 따라 iptables에 필요한 변경을 자동으로 수행합니다. 컨테이너 간 및 외부 세계와의 통신을 방해할 수 있는 네트워크 구성 오류를 방지하기 위해 Docker 서버가 자동으로 iptables를 변경하도록 하는 것이 좋습니다. 또한 컨테이너를 실행하거나 네트워크 옵션을 수정할 때마다 iptables를 업데이트해야 하는 번거로움을 방지합니다. 🎜🎜강화 제안:🎜
不使用’–iptables = false’参数运行Docker守护程序。 若以systemctl管理docker服务则需要编辑/usr/lib/systemd/system/docker.service的ExecStart参数删除--iptables = false, 重启docker服务
systemctl daemon-reload systemctl restart docker
7.高危-禁止使用aufs存储驱动程序
描述:
“aufs”存储驱动程序是最早的存储驱动程序。 它基于Linux内核补丁集,该补丁集不太可能合并到主要Linux内核中。 并且已知“ aufs”驱动程序会导致一些严重的内核崩溃。 'aufs’刚刚获得了Docker的支持。 最重要的是,许多使用最新Linux内核的Linux发行版都不支持’aufs’驱动程序。
加固建议:
不要明确使用“ aufs”作为存储驱动程序。 例如,请勿按以下方式启动Docker守护程序: 若以systemctl管理docker服务则需要编辑/usr/lib/systemd/system/docker.service的ExecStart参数删除--storage-driver aufs重启docker服务
systemctl daemon-reload systemctl restart docker
8.高危-禁止在容器上挂载敏感的主机系统目录
描述:
不允许将以下敏感的主机系统目录作为容器卷挂载,尤其是在读写模式下。
/boot /dev /etc /lib /proc /sys /usr
如果敏感目录以读写模式挂载,则可以对那些敏感目录中的文件进行更改。 这些更改可能会降低安全隐患或不必要的更改,这些更改可能会使Docker主机处于受损状态
如果您是k8s或其他容器编排软件编排的容器,请依照相应的安全策略配置或忽略。
加固建议:
不要在容器上挂载主机敏感目录,尤其是在读写模式下
9.高危-禁止共享主机的进程名称空间
描述
进程ID(PID)命名空间隔离了进程ID号空间,这意味着不同PID命名空间中的进程可以具有相同的PID。 这是容器和主机之间的进程级别隔离。
PID名称空间提供了流程分离。 PID命名空间删除了系统进程的视图,并允许进程ID重复使用,包括PID1。如果主机的PID命名空间与容器共享,则它将基本上允许容器内的进程查看主机上的所有进程。 系统。 这破坏了主机和容器之间的进程级别隔离的好处。 有权访问容器的人最终可以知道主机系统上正在运行的所有进程,甚至可以从容器内部杀死主机系统进程。 这可能是灾难性的。 因此,请勿与容器共享主机的进程名称空间。
加固建议:
不要使用--pid = host参数启动容器。
10.中危-为Docker启动内容信任
描述:
默认情况下禁用内容信任。 您应该启用它。 内容信任提供了将数字签名用于发送到远程Docker注册表和从远程Docker注册表接收的数据的功能。 这些签名允许客户端验证特定图像标签的完整性和发布者。 这确保了容器图像的出处
加固建议:
要在bash shell中启用内容信任,请输入以下命令:export DOCKER_CONTENT_TRUST=1 或者,在您的配置文件中设置此环境变量,以便在每次登录时启用内容信任。 内容信任目前仅适用于公共Docker Hub的用户。 当前不适用于Docker Trusted Registry或私有注册表。
文件权限
11.高危-确认docker相关文件权限适合
描述:
确保可能包含敏感参数的文件和目录的安全对确保Docker守护程序的正确和安全运行至关重要
加固建议:
执行以下命令为docker相关文件配置权限:
chown root:root /usr/lib/systemd/system/docker.service chmod 644 /usr/lib/systemd/system/docker.service chown root:root /usr/lib/systemd/system/docker.socket chmod 644 /usr/lib/systemd/system/docker.socket chown root:root /etc/docker chmod 755 /etc/docker
若文件路径与实际系统中不同可以使用以下命令获取文件路径:
systemctl show -p FragmentPath docker.socket systemctl show -p FragmentPath docker.service
12.高危-确保docker.sock不被挂载
描述:
docker.sock挂载的容器容易被获取特殊权限,一旦危险进入到docker中,严重影响了宿主机的安全.
加固建议:
按照提示<image name> <container name>查找启动的docker容器 , 以非docker挂载docker.sock的形式重新启动容器
docker stop <container name>
docker run [OPTIONS] <image name>或docker run [OPTIONS]
安全审计
13.高危-审核Docker文件和目录
描述:
除了审核常规的Linux文件系统和系统调用之外,还审核所有与Docker相关的文件和目录。 Docker守护程序以“ root”特权运行。 其行为取决于某些关键文件和目录。如 /var/lib/docker、/etc/docker、docker.service、 docker.socket、/usr/bin/docker-containerd、/usr/bin/docker-runc等文件和目录
加固建议:
在/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件中添加以下行:
-w /var/lib/docker -k docker -w /etc/docker -k docker -w /usr/lib/systemd/system/docker.service -k docker -w /usr/lib/systemd/system/docker.socket -k docker -w /usr/bin/docker-containerd -k docker -w /usr/bin/docker-runc -k docker
然后,重新启动audit程序 service auditd restart.
推荐学习:《docker视频教程》
위 내용은 꼭 알아야 할 Docker 보안 기준의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!