7.3.10. 安全加固

  • 最小安装
    • 删除所有开发工具(编译器等)
  • 更新系统源
  • 启用 AppArmor
  • 启用 SELinux
  • 限制运行容器的内核功能
  • 移除依赖构建
  • 配置严格的网络访问控制策略
  • 不使用root用户启动docker
  • 不以privileged特权模式运行容器
  • 控制资源
    • CPU Share
    • CPU 核数
    • 内存资源
    • IO 资源
    • 磁盘资源
    • 硬件资源
    • 单位时间内进程数量上限
  • 使用安全的基础镜像
  • 定期安全扫描和更新补丁
  • 删除镜像中的 setuid 和 setgid 权限
    • RUN find / -perm +6000-type f-exec chmod a-s {} \;|| true
  • 配置Docker守护程序的TLS身份验证
  • 如非必要 禁止容器间通信
  • rootless Docker
  • 使用 Seccomp 限制 syscall
  • 构建环境和在线环境分开
  • 证书校验