当今全球大多数企业都选择容器路径来部署服务和服务器。马来西亚电话号码列表 最广泛使用的容器工具之一是 Docker。Docker 默认提供了一些安全功能,但在某些情况下,仅靠默认安全性是不够的。我们将研究保护 Docker 容器的各种方法。 1. -u 标志 确保使用 -u 标志启动 Docker 容器。这将确保容器将以普通用户而不是 root 用户身份运行。 2. Docker Hub 付费计划:马来西亚电话号码列表 由于您为 Docker 使用第三方容器,它们可能包含恶意代码或者它们没有得到很好的保护。要解决此问题,一种选择是选择 Docker Hub 付费计划。此选项可确保存储库被扫描并得到很好的保护。您选择仅选择经过预先扫描且安全可靠的官方认可的容器。例如,要部署 WordPress 容器,您需要提供以下命令 sudo 码头工人搜索 WordPress 您将看到许多可用于部署的各种第三方 WordPress 容器的条目。第一个条目将是 Bitnami WordPress。
您将能够在官方栏目下看到“ok”标签。 3. 删除 SUID 标志: 马来西亚电话号码列表 如前所述,第一步是使用 -u 标签启动 Docker。这本身不足以阻止所有攻击。一些容器镜像文件默认设置了 SUID 标志。SUID 是一种特殊的文件权限,它允许在执行期间拥有所有权。您应该取消设置这些标签或完全删除这些文件。这将防止升级攻击。要取消设置 SUID,请使用以下命令。 RUN for i in `find / -perm +6000 -type f`; 做 chmod 作为 $i; 完毕 4. Docker 内容信任: Docker 马来西亚电话号码列表 Container Trust 是一个强大的 docker 安全特性。这将确保只允许使用那些经过验证和认证的容器镜像。不幸的是,这在 Docker 中默认没有启用。要启用此功能,请使用以下命令 须藤导出 DOCKER_CONTENT_TRUST=1。 5. 限制容器的资源 容器在受到感染或攻击时,最终可能会消耗大量资源,例如内存和 CPU。
这可以通过对每个容器可以消耗的资源设置限制来防止。这是通过使用以下命令来实现的。 设置内存限制: ——内存=”1000M” 限制 CPU 使用率 ——CPU=X 其中 X 是此容器可用的 CPU 数量 6.使用命名空间 Docker 安全使用命名空间来保护容器。启用后,马来西亚电话号码列表 它将确保在一个容器中运行的进程不会影响其他容器。这种容器隔离是保护其他容器的好方法。 7. Docker Bench 安全性 这是一个方便的脚本,它将扫描您的 Docker 容器的各个方面并报告您可以采取行动的结果。以下是 Docker bench 安全性可以执行的一些测试,例如主机配置、Docker 马来西亚电话号码列表 守护进程配置、容器映像、容器运行时等。您可以使用以下命令从 Git clone 下载 Docker bench 脚本。