国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

Docker安全基線檢查需要修復的一些問題

2年前作者:奮力向前123分類:Toy博客閱讀(19)違法舉報

這篇具有很好參考價值的文章主要介紹了Docker安全基線檢查需要修復的一些問題。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。

一、可能出現(xiàn)的漏洞

Docker安全基線檢查需要修復的一些問題,java,docker,安全,容器

限制容器之間的網(wǎng)絡流量
限制容器的內(nèi)存使用量
為Docker啟用內(nèi)容信任
將容器的根文件系統(tǒng)掛載為只讀
審核Docker文件和目錄
?

默認情況下,同一主機上的容器之間允許所有網(wǎng)絡通信。 如果不需要,請限制所有容器間的通信。 將需要相互通信的特定容器鏈接在一起。默認情況下,同一主機上所有容器之間都啟用了不受限制的網(wǎng)絡流量。 因此,每個容器都有可能讀取同一主機上整個容器網(wǎng)絡上的所有數(shù)據(jù)包。 這可能會導致意外和不必要的信息泄露給其他容器。 因此,限制容器間的通信。

?
"默認情況下,Docker主機上的所有容器均等地共享資源。 通過使用Docker主機的資源管理功能(例如內(nèi)存限制),您可以控制容器可能消耗的內(nèi)存量。


默認情況下,容器可以使用主機上的所有內(nèi)存。 您可以使用內(nèi)存限制機制來防止由于一個容器消耗主機的所有資源而導致的服務拒絕,從而使同一主機上的其他容器無法執(zhí)行其預期的功能。 對內(nèi)存沒有限制可能會導致一個問題,即一個容器很容易使整個系統(tǒng)不穩(wěn)定并因此無法使用。"


"默認情況下禁用內(nèi)容信任。 您應該啟用它。
內(nèi)容信任提供了將數(shù)字簽名用于發(fā)送到遠程Docker注冊表和從遠程Docker注冊表接收的數(shù)據(jù)的功能。 這些簽名允許客戶端驗證特定圖像標簽的完整性和發(fā)布者。 這確保了容器圖像的出處"
"容器的根文件系統(tǒng)應被視為“黃金映像”,并且應避免對根文件系統(tǒng)的任何寫操作。 您應該顯式定義用于寫入的容器卷。


您不應該在容器中寫入數(shù)據(jù)。 屬于容器的數(shù)據(jù)量應明確定義和管理。 在管理員控制他們希望開發(fā)人員在何處寫入文件和錯誤的許多情況下,這很有用。"
除了審核常規(guī)的Linux文件系統(tǒng)和系統(tǒng)調(diào)用之外,還審核所有與Docker相關(guān)的文件和目錄。 Docker守護程序以“ root”特權(quán)運行。 其行為取決于某些關(guān)鍵文件和目錄。如 /var/lib/docker、/etc/docker、docker.service、 docker.socket、/usr/bin/docker-containerd、/usr/bin/docker-runc等文件和目錄

二、修復建議:

在守護程序模式下運行docker并傳遞'--icc = false'作為參數(shù)。
例如,
```
/usr/bin/dockerd --icc=false
```
若使用systemctl管理docker服務則需要編輯
```
/usr/lib/systemd/system/docker.service
```
文件中的`ExecStart`參數(shù)添加 `--icc=false`選項
然后重啟docker服務
```
systemctl daemon-reload
systemctl restart docker
```"
"僅使用所需的內(nèi)存來運行容器。 始終使用'--memory'參數(shù)運行容器。 您應該按以下方式啟動容器:
```
docker run --interactive --tty --memory 256m <Container Image Name or ID>
```"
"要在bash shell中啟用內(nèi)容信任,請輸入以下命令:`export DOCKER_CONTENT_TRUST=1`
或者,在您的配置文件中(/etc/profile或/etc/profile.d/docker.sh)設(shè)置此環(huán)境變量,以便在每次登錄時啟用內(nèi)容信任。
內(nèi)容信任目前僅適用于公共Docker Hub的用戶。 當前不適用于Docker Trusted Registry或私有注冊表。"
"添加“ --read-only”標志,以允許將容器的根文件系統(tǒng)掛載為只讀。 可以將其與卷結(jié)合使用,以強制容器的過程僅寫入要保留的位置。
您應該按以下方式運行容器:
```
docker run --interactive --tty --read-only --volume <writable-volume> <Container Image Name or ID> <Command>
```
如果您是k8s或其他容器編排軟件編排的容器,請按照相應的安全策略配置或忽略。"
"找到/etc/audit/audit.rules與/etc/audit/rules.d/audit.rules文件(若沒有則先確認是否已安裝auditd服務),
在文件中添加以下行:
```
-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/docker-containerd -k docker
-w /usr/bin/docker-runc -k docker
-w /usr/bin/containerd -k docker
```
然后,重新啟動audit程序。 例如
```
service auditd restart
```"
?

三、修復樣例:

一、限制容器之間的網(wǎng)絡流量

vim ?/etc/docker/daemon.json
添加以下內(nèi)容到 daemon.json 文件中:

{
? ? "icc": false
}
?
?

sudo service docker restart

docker restart apollo-configservice?
docker restart apollo-portal
docker restart ?apollo-adminservice

docker restart ?ctg-eureka?
docker restart ?nginx
systemctl start docker

二、限制容器的內(nèi)存使用量
?

docker stats {container_id/container_name}
?
docker stats ?apollo-portal
docker stats apollo-configservice?
docker stats apollo-adminservice


docker stats ctg-eureka
docker stats nginx
?

docker update --memory 1GiB --memory-swap -1 apollo-portal
docker update --memory 1GiB --memory-swap -1 apollo-configservice?
docker update --memory 1GiB --memory-swap -1 apollo-adminservice


docker update --memory 10GiB --memory-swap -1 ctg-eureka
docker update --memory 10GiB --memory-swap -1 nginx


三、為Docker啟用內(nèi)容信任

?vim ?/etc/profile

export DOCKER_CONTENT_TRUST=1

source ?/etc/profile


四 、將容器的根文件系統(tǒng)掛載為只讀

docker run --interactive --tty --read-only --volume <writable-volume> <Container Image Name or ID>?

docker run --interactive --tty --read-only --volume ?/home/docker/apps/eureka/ ctg-eureka

docker run --interactive --tty --read-only --volume ?/home/docker/apps/nginx/ nginx

例子:
?docker run --read-only -v /icanwrite busybox touch /icanwrite/here

五、審核Docker文件和目錄

在/etc/audit/audit.rules與/etc/audit/rules.d/audit.rules文件中添加以下行:

-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/docker-containerd -k docker
-w /usr/bin/docker-runc -k docker

vim ?/etc/audit/audit.rules
vim ?/etc/audit/rules.d/audit.rules

-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/docker-containerd -k docker
-w /usr/bin/docker-runc -k docker


service auditd restart


?文章來源地址http://www.zghlxwxcb.cn/news/detail-802216.html

到了這里,關(guān)于Docker安全基線檢查需要修復的一些問題的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權(quán),不承擔相關(guān)法律責任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符,請點擊違法舉報進行投訴反饋,一經(jīng)查實,立即刪除!

領(lǐng)支付寶紅包贊助服務器費用

相關(guān)文章

  • 安全評估之漏洞掃描、基線檢查、滲透測試

    為保證業(yè)務系統(tǒng)運營的安全穩(wěn)定,在業(yè)務系統(tǒng)上線前需要開展三同步檢查,針對新業(yè)務系統(tǒng)上線、新版本上線、項目驗收前開展安全評估。可以幫助其在技術(shù)層面了解系統(tǒng)存在的安全漏洞。今天就來了解一下安全評估之漏洞掃描、基線檢查、滲透測試。 安全評估的內(nèi)容主要涉

    2024年02月11日
    瀏覽(31)

  • 基線掃描tomcat安全加固-檢查是否支持HTTPS等加密協(xié)議

    背景:基線掃描時,docker鏡像中的tomcat在檢查是否支持HTTPS等加密協(xié)議這一項上未通過。 思路:先通過JDK自帶的keytool工具生成證書,再從tomcat的server.xml配置文件中增加配置。 我不確定不同版本的JDK生成的證書是否可以通用,所以我使用鏡像自帶的jdk生成證書, 因為我使用的

    2024年01月23日
    瀏覽(24)
  • 大壩安全監(jiān)測中需要做好檢查監(jiān)測

    大壩安全監(jiān)測中需要做好檢查監(jiān)測

    大壩安全監(jiān)測是人們了解大壩運行狀態(tài)和安全狀況的有效手段和方法。它的目的主要是了解大壩安全狀況及其發(fā)展態(tài)勢,是一個包括由獲取各種環(huán)境、水文、結(jié)構(gòu)、安全信息到經(jīng)過識別、計算、判斷等步驟,最終給出一個大壩安全 程度的全過程。 ? 此過程包括:通過各種信

    2024年02月17日
    瀏覽(21)
  • 電腦藍屏、經(jīng)常用一會后藍屏問題檢查修復

    電腦藍屏、經(jīng)常用一會后藍屏問題檢查修復

    本篇文章適用于 解決電腦能正常開機,但是用一會后就藍屏 的問題。按照下面的順序進行檢查和修復, 絕大部分藍屏問題都能得到解決 。 電腦藍屏可以從三個方面進行檢查: 1、內(nèi)存條,2、硬盤,3、程序或者軟件驅(qū)動。 1.內(nèi)存條 內(nèi)存條出問題或者損壞會導致電腦藍屏,可

    2024年02月09日
    瀏覽(15)

  • 【golang】使用通道時需要注意的一些問題

    Go 1.20 Windows 11 1.定義通道變量: 2.通道遵循FIFO先入先出規(guī)則,可以保證元素的順序 3.通道是并發(fā)安全的,不會因多個協(xié)程的同時寫入而發(fā)生數(shù)據(jù)錯亂 下面的代碼例子會經(jīng)常出現(xiàn)調(diào)用 display 函數(shù),這是我自己定義的一個函數(shù),主要用于打印信息,代碼如下: 為了減少代碼冗余

    2024年02月12日
    瀏覽(57)
  • 【筆記】Arrays.binarySearch()實踐,以及需要注意的一些問題點

    【筆記】Arrays.binarySearch()實踐,以及需要注意的一些問題點

    背景:我想校驗一個指定的String字符串,是否存在于另一個String數(shù)組中,選擇 Arrays.binarySearch() 方法實現(xiàn),代碼如下: 運行結(jié)果: 很直觀的能看到item數(shù)組里面存在字符串 1591 ,為什么程序運行的結(jié)果卻是找不到該元素呢? 首先來看一下源碼: 注意,注釋上提到了兩個重點:

    2024年02月06日
    瀏覽(20)
  • 關(guān)于問題【W(wǎng)indows 資源保護找到了損壞文件,但其中有一些文件無法修復】解決辦法

    關(guān)于問題【W(wǎng)indows 資源保護找到了損壞文件,但其中有一些文件無法修復】解決辦法

    Windows 資源保護找到了損壞文件,但其中有一些文件無法修復。 對于聯(lián)機修復,位于 windirLogsCBSCBS.log 的 CBS 日志文件中 有詳細信息。例如 C:WindowsLogsCBSCBS.log。對于脫機修復, /OFFLOGFILE 標記提供的日志文件中有詳細信息。

    2024年02月16日
    瀏覽(16)

  • bat腳本字符串替換:路徑中\需要替換,解決一些文件寫入路徑不對的問題

    set dir_tmp=%~dp0 新建一個變量dir_tmp,存儲獲取的腳本當前路徑 set dir=%dir_tmp:= \\\\ \\\\% 新建一個變量dir ,存儲字符串替換之后的路徑 其中黃色的\\\\實際上代表的是一個

    2024年02月07日
    瀏覽(20)

  • SimpleDateFormat 線程安全問題修復方案

    在日常的開發(fā)過程中,我們不可避免地會使用到 JDK8 之前的 Date 類,在格式化日期或解析日期時就需要用到 SimpleDateFormat 類,但由于該類并不是線程安全的,所以我們常發(fā)現(xiàn)對該類的不恰當使用會導致日期解析異常,從而影響線上服務可用率。 以下是對 SimpleDateFormat 類不恰當

    2024年02月12日
    瀏覽(23)

  • 10-java實現(xiàn)對上傳文件做安全性檢查

    對外接口支持文件上傳功能時,為避免有人惡意上傳有毒或者篡改程序的腳本,需要對上傳的文件添加安全性校驗。 文件首先校驗直觀文件上傳格式,校驗文件后綴是否符合業(yè)務要求。以MultipartFile類為例 由于文件后綴可能涉及到篡改的情況出現(xiàn),因此需要校驗文件的魔數(shù),

    2024年02月04日
    瀏覽(20)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包