《Dosec：2018年Docker容器最佳安全实践白皮书（117页）.pdf》由会员分享，可在线阅读，更多相关《Dosec：2018年Docker容器最佳安全实践白皮书（117页）.pdf（117页珍藏版）》请在三个皮匠报告上搜索。

1、 Docker 容器最佳安全实践 白皮书 （V1.O） 2018 年 5 月 本文档是 Dosec 安全团队参考 CIS 的 docker 安全标准并结合实践经验整理，更多 docker 安全关注我们的公众号: DoSec 容器安全Docker 容器最佳安全实践白皮书（V1.0） dosec 版权所有 2 目录 1.主机安全配置 . 6 6 1.1 为容器创建一个单独的分区 . 6 1.2 加固容器宿主机 . 7 1.3 更新 docker 到最新版本 . 8 1.4 只有受信任的用户才能控制 docker 守护进程 . 9 1.5 审计 docker 守护进程 . 10 1.6 审计 doc

2、ker 文件和目录-/var/lib/docker . 11 1.7 审计 docker 文件和目录-/etc/docker . 12 1.8 审计 docker 文件和目录-docker.service . 13 1.9 审计 docker 文件和目录-docker.socket . 14 1.10 审计 docker 文件和目录-/etc/default/docker . 15 1.11 审计 docker 文件和目录-/etc/docker/daemon.json . 16 1.12 审计 docker 文件和目录-/usr/bin/docker-containerd . 17 1.13

3、 审计 docker 文件和目录-/usr/bin/docker-runc . 18 2.docker 守护进程配置 . 1919 2.1 限制默认网桥上容器之间的网络流量 . 19 2.2 设置日志级别为 info . 20 2.3 允许 docker 更改 IPtables . 21 2.4 不使用不安全的镜像仓库 . 22 2.5 不使用 aufs 存储驱动程序 . 23 2.6 docker 守护进程配置 TLS 身份认证 . 24 2.7 配置合适的 ulimit . 25 2.8 启用用户命名空间 . 26 2.9 使用默认 cgroup . 28 2.10 设置容器的默认空间大小

4、 . 29 2.11 启用 docker 客户端命令的授权 . 30 2.12 配置集中和远程日志记录 . 31 2.13 禁用旧仓库版本（v1）上的操作 . 32 2.14 启用实时恢复 . 33 2.15 禁用 userland 代理 . 34 Docker 容器最佳安全实践白皮书（V1.0） dosec 版权所有 3 2.16 应用守护进程范围的自定义 seccomp 配置文件 . 35 2.17 生产环境中避免实验性功能 . 36 2.18 限制容器获取新的权限 . 37 3.docker 守护程序文件配置 . 3838 3.1 设置 docker.service 文件的所有权为 ro

5、ot:root . 38 3.2 设置 docker.service 文件权限为 644 或更多限制性 . 39 3.3 设置 docker.socket 文件所有权为 root:root . 40 3.4 设置 docker.socket 文件权限为 644 或更多限制性 . 41 3.5 设置/etc/docker 目录所有权为 root:root . 42 3.6 设置/etc/docker 目录权限为 755 或更多限制性 . 43 3.7 设置仓库证书文件所有权为 root：root . 44 3.8 设置仓库证书文件权限为 444 或更多限制性 . 45 3.9 设置 TLS CA

6、 证书文件所有权为 root：root . 46 3.10 设置 TLS CA 证书文件权限为 444 或更多限制性 . 47 3.11 设置 docker 服务器证书文件所有权为 root：root . 48 3.12 设置 docker 服务器证书文件权限为 444 或更多限制 . 49 3.13 设置 docker 服务器证书密钥文件所有权为 root：root . 50 3.14 设置 docker 服务器证书密钥文件权限为 400 . 51 3.15 设置 docker.sock 文件所有权为 root：docker . 52 3.16 设置 docker.sock 文件权限为 66