Garis dasar keselamatan Docker yang anda mesti tahu

Artikel ini membawakan anda pengetahuan yang berkaitan tentang garis dasar keselamatan dalam docker, termasuk konfigurasi perkhidmatan dan kebenaran fail serta isu berkaitan audit keselamatan saya harap ia akan membantu semua orang.

Garis Dasar Keselamatan Docker

Konfigurasi Perkhidmatan

1. Berisiko Tinggi - Hadkan trafik rangkaian antara kontena

Penerangan:

Secara lalai, semua komunikasi rangkaian dibenarkan antara bekas pada hos yang sama. Jika tidak diperlukan, hadkan semua komunikasi antara bekas. Rantai bersama bekas tertentu yang perlu berkomunikasi antara satu sama lain. Secara lalai, trafik rangkaian tanpa had didayakan antara semua bekas pada hos yang sama. Oleh itu, setiap bekas mempunyai potensi untuk membaca semua paket pada keseluruhan rangkaian bekas pada hos yang sama. Ini boleh menyebabkan kebocoran maklumat yang tidak dijangka dan tidak perlu kepada bekas lain. Oleh itu, hadkan komunikasi antara bekas.

Cadangan pengerasan:

Jalankan docker dalam mod daemon dan hantar **–icc=false** sebagai argumen. Contohnya,

/usr/bin/dockerd --icc=false

Jika anda menggunakan systemctl untuk menguruskan perkhidmatan docker, anda perlu mengedit parameter ExecStart dalam

/usr/lib/systemd/system/docker.service

fail dan tambah –icc=false item dan kemudian mulakan semula perkhidmatan docker

systemctl daemon-reload
systemctl restart docker

2. Berisiko tinggi - melarang penggunaan bekas istimewa

Penerangan:

gunakan Bendera –privileged memberikan semua keupayaan kernel Linux kepada bekas, mengatasi bendera –cap-add dan –cap-drop. Pastikan anda tidak menggunakannya. Bendera --privileged menyediakan semua keupayaan kepada bekas dan juga menarik balik semua sekatan yang dikuatkuasakan oleh pengawal cgroup peranti. Dalam erti kata lain, bekas boleh melakukan hampir semua yang boleh dilakukan oleh hos. Bendera ini wujud untuk membenarkan kes penggunaan khas, seperti menjalankan Docker dalam Docker

Pengesyoran pengerasan:

Jangan jalankan bekas dengan bendera --privileged

3 . Risiko tinggi - Hadkan penggunaan memori bagi bekas

Penerangan:

Secara lalai, semua bekas pada hos Docker berkongsi sumber secara sama rata. Dengan menggunakan ciri pengurusan sumber hos Docker, seperti had memori, anda boleh mengawal jumlah memori yang boleh digunakan oleh bekas. Secara lalai, bekas boleh menggunakan semua memori pada mesin hos. Anda boleh menggunakan mekanisme pendikit memori untuk mengelakkan penafian perkhidmatan disebabkan oleh satu bekas menggunakan semua sumber hos, menghalang bekas lain pada hos yang sama daripada melaksanakan fungsi yang dimaksudkan. Tidak mempunyai had pada memori boleh membawa kepada masalah di mana satu bekas boleh dengan mudah menjadikan keseluruhan sistem tidak stabil dan oleh itu tidak boleh digunakan.

Cadangan pengerasan

Gunakan hanya memori yang diperlukan untuk menjalankan bekas. Sentiasa jalankan bekas dengan parameter --memory. Anda harus memulakan bekas seperti berikut: docker run --interactive --tty --memory 256m <container image name or id></container>

4. Berisiko tinggi - Lekapkan sistem fail akar bekas sebagai baca sahaja

Penerangan:

Sistem fail akar bekas harus dianggap sebagai "imej emas" dan sebarang tulisan pada sistem fail akar harus dielakkan. Anda harus mentakrifkan volum bekas untuk menulis dengan jelas. Anda tidak sepatutnya menulis data dalam bekas. Jumlah data yang dimiliki oleh bekas hendaklah ditakrifkan dan diurus dengan jelas. Ini berguna dalam banyak situasi di mana pentadbir mengawal tempat mereka mahu pembangun menulis fail dan ralat.

Cadangan pengerasan:

Tambah bendera "--baca-sahaja" untuk membenarkan sistem fail akar bekas dipasang baca-sahaja. Ini boleh digunakan bersama dengan volum untuk memaksa proses kontena hanya menulis ke lokasi yang bertujuan untuk dipelihara. Anda harus menjalankan bekas seperti berikut:

docker run --interactive --tty --read-only --volume <writable-volume> <container> <command></command></container></writable-volume>

Jika anda adalah bekas yang didalangi oleh k8s atau perisian orkestrasi kontena lain, sila konfigurasikan atau abaikan ia mengikut dasar keselamatan yang sepadan.

5 Berisiko Tinggi - Tetapkan Tahap Pengelogan

Penerangan:

Tetapkan tahap pengelogan yang sesuai untuk mengkonfigurasi daemon Docker untuk log Peristiwa anda mahu lihat kemudian. Tahap log asas "maklumat" dan ke atas akan menangkap semua log kecuali log nyahpepijat. Anda tidak seharusnya menjalankan daemon Docker pada tahap log "debug" sehingga dan melainkan perlu

Cadangan pengerasan:

Jalankan daemon Docker seperti berikut:

dockerd --log-level=info

Jika anda menggunakan systemctl untuk mengurus perkhidmatan docker, anda perlu mengedit parameter ExecStart /usr/lib/systemd/system/docker.service untuk menambah --log-level="info" dan mulakan semula docker

systemctl stop docker
systemctl start docker

6 kepada iptables

Penerangan:

iptables digunakan untuk menetapkan, menyelenggara dan menyemak jadual peraturan penapis paket IP dalam kernel Linux. Benarkan daemon Docker membuat perubahan pada iptables. Jika anda memilih untuk melakukan ini, Docker tidak akan sekali-kali membuat perubahan pada peraturan iptables sistem anda. Jika dibenarkan, pelayan Docker akan secara automatik membuat perubahan yang diperlukan pada iptables berdasarkan cara anda memilih pilihan rangkaian untuk bekas. Adalah disyorkan untuk membiarkan pelayan Docker secara automatik membuat perubahan pada iptables untuk mengelakkan salah konfigurasi rangkaian, yang mungkin menghalang komunikasi antara bekas dan dengan dunia luar. Selain itu, ia mengelakkan kerumitan mengemas kini iptables setiap kali anda memilih untuk menjalankan bekas atau mengubah suai pilihan rangkaian.

Cadangan pengukuhan:

不使用’–iptables = false’参数运行Docker守护程序。 若以systemctl管理docker服务则需要编辑/usr/lib/systemd/system/docker.service的ExecStart参数删除--iptables = false， 重启docker服务

systemctl daemon-reload
systemctl restart docker

7.高危-禁止使用aufs存储驱动程序

描述：

“aufs”存储驱动程序是最早的存储驱动程序。 它基于Linux内核补丁集，该补丁集不太可能合并到主要Linux内核中。 并且已知“ aufs”驱动程序会导致一些严重的内核崩溃。 'aufs’刚刚获得了Docker的支持。 最重要的是，许多使用最新Linux内核的Linux发行版都不支持’aufs’驱动程序。

加固建议：

不要明确使用“ aufs”作为存储驱动程序。 例如，请勿按以下方式启动Docker守护程序： 若以systemctl管理docker服务则需要编辑/usr/lib/systemd/system/docker.service的ExecStart参数删除--storage-driver aufs重启docker服务

systemctl daemon-reload
systemctl restart docker

8.高危-禁止在容器上挂载敏感的主机系统目录

描述：

不允许将以下敏感的主机系统目录作为容器卷挂载，尤其是在读写模式下。

/boot /dev /etc /lib /proc /sys /usr

如果敏感目录以读写模式挂载，则可以对那些敏感目录中的文件进行更改。 这些更改可能会降低安全隐患或不必要的更改，这些更改可能会使Docker主机处于受损状态

如果您是k8s或其他容器编排软件编排的容器，请依照相应的安全策略配置或忽略。

加固建议：

不要在容器上挂载主机敏感目录，尤其是在读写模式下

9.高危-禁止共享主机的进程名称空间

描述

进程ID（PID）命名空间隔离了进程ID号空间，这意味着不同PID命名空间中的进程可以具有相同的PID。 这是容器和主机之间的进程级别隔离。

PID名称空间提供了流程分离。 PID命名空间删除了系统进程的视图，并允许进程ID重复使用，包括PID1。如果主机的PID命名空间与容器共享，则它将基本上允许容器内的进程查看主机上的所有进程。 系统。 这破坏了主机和容器之间的进程级别隔离的好处。 有权访问容器的人最终可以知道主机系统上正在运行的所有进程，甚至可以从容器内部杀死主机系统进程。 这可能是灾难性的。 因此，请勿与容器共享主机的进程名称空间。

加固建议：

不要使用--pid = host参数启动容器。

10.中危-为Docker启动内容信任

描述：

默认情况下禁用内容信任。 您应该启用它。 内容信任提供了将数字签名用于发送到远程Docker注册表和从远程Docker注册表接收的数据的功能。 这些签名允许客户端验证特定图像标签的完整性和发布者。 这确保了容器图像的出处

加固建议：

要在bash shell中启用内容信任，请输入以下命令：export DOCKER_CONTENT_TRUST=1 或者，在您的配置文件中设置此环境变量，以便在每次登录时启用内容信任。 内容信任目前仅适用于公共Docker Hub的用户。 当前不适用于Docker Trusted Registry或私有注册表。

文件权限

11.高危-确认docker相关文件权限适合

描述：

确保可能包含敏感参数的文件和目录的安全对确保Docker守护程序的正确和安全运行至关重要

加固建议：

执行以下命令为docker相关文件配置权限：

chown root:root /usr/lib/systemd/system/docker.service
chmod 644 /usr/lib/systemd/system/docker.service
chown root:root /usr/lib/systemd/system/docker.socket
chmod 644 /usr/lib/systemd/system/docker.socket
chown root:root /etc/docker
chmod 755 /etc/docker

若文件路径与实际系统中不同可以使用以下命令获取文件路径：

systemctl show -p FragmentPath docker.socket
systemctl show -p FragmentPath docker.service

12.高危-确保docker.sock不被挂载

描述：
docker.sock挂载的容器容易被获取特殊权限，一旦危险进入到docker中，严重影响了宿主机的安全.

加固建议：

按照提示<image name></image> <container name></container>查找启动的docker容器 ， 以非docker挂载docker.sock的形式重新启动容器

docker stop <container name></container>

docker run [OPTIONS] <image name>或docker run [OPTIONS] <image id></image></image>

安全审计

13.高危-审核Docker文件和目录

描述：

除了审核常规的Linux文件系统和系统调用之外，还审核所有与Docker相关的文件和目录。 Docker守护程序以“ root”特权运行。 其行为取决于某些关键文件和目录。如 /var/lib/docker、/etc/docker、docker.service、 docker.socket、/usr/bin/docker-containerd、/usr/bin/docker-runc等文件和目录

加固建议：

在/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件中添加以下行：

-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/docker-containerd -k docker
-w /usr/bin/docker-runc -k docker

然后，重新启动audit程序 service auditd restart.

推荐学习：《docker视频教程》

Atas ialah kandungan terperinci Garis dasar keselamatan Docker yang anda mesti tahu. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!