1.确保docker.sock不被挂载 描述 docker.sock挂载的容器容易被获取特殊权限,一旦危险进入到docker中,严重影响了宿主机的安全
加固建议
按照提示<image name><container name>查找启动的docker容器 , 以非docker挂载docker.sock的形式重新启动容器
docker stop <container name>
docker run [OPTIONS] <image name>或docker run [OPTIONS] <image id>
2.不共享主机的进程名称空间 描述 进程ID(PID)命名空间隔离了进程ID号空间,这意味着不同PID命名空间中的进程可以具有相同的PID。 这是容器和主机之间的进程级别隔离。 PID名称空间提供了流程分离。 PID命名空间删除了系统进程的视图,并允许进程ID重复使用,包括PID1。如果主机的PID命名空间与容器共享,则它将基本上允许容器内的进程查看主机上的所有进程。 系统。 这破坏了主机和容器之间的进程级别隔离的好处。 有权访问容器的人最终可以知道主机系统上正在运行的所有进程,甚至可以从容器内部杀死主机系统进程。 这可能是灾难性的。 因此,请勿与容器共享主机的进程名称空间。
加固建议
不要使用--pid = host参数启动容器。
3.不要在容器上挂载敏感的主机系统目录 描述 不允许将以下敏感的主机系统目录作为容器卷挂载,尤其是在读写模式下。
代码语言:javascript复制/boot
/dev
/etc
/lib
/proc
/sys
/usr如果敏感目录以读写模式挂载,则可以对那些敏感目录中的文件进行更改。 这些更改可能会降低安全隐患或不必要的更改,这些更改可能会使Docker主机处于受损状态。 如果您是k8s或其他容器编排软件编排的容器,请依照相应的安全策略配置或忽略。
加固建议 不要在容器上挂载主机敏感目录,尤其是在读写模式下
4.不要使用aufs存储驱动程序 描述 “ aufs”存储驱动程序是最早的存储驱动程序。 它基于Linux内核补丁集,该补丁集不太可能合并到主要Linux内核中。 还已知“ aufs”驱动程序会导致一些严重的内核崩溃。 ‘aufs’刚刚获得了Docker的支持。 最重要的是,许多使用最新Linux内核的Linux发行版都不支持’aufs’驱动程序。
加固建议 不要明确使用“ aufs”作为存储驱动程序。 例如,请勿按以下方式启动Docker守护程序: 若以systemctl管理docker服务则需要编辑/usr/lib/systemd/system/docker.service的ExecStart参数删除–storage-driver aufs重启docker服务
systemctl daemon-reload
systemctl restart docker
