[云原生] Docker 安全

尽量别做的事:

尽量不用 --privileged 运行容器(授权容器root用户拥有宿主机的root权限)
尽量不用 --network host 运行容器(使用host网络模式共享宿主机的网络命名空间)
尽量不在容器中运行 ssh 服务
尽量不把宿主机系统的关键敏感目录挂载到容器中

尽量要做的事:

尽量使用较小体积的镜像
尽量以单一应用进程运行容器
尽量在容器中使用最新稳定版本的应用
尽量安装使用最新稳定版本的docker
尽量以最低权限运行容器
尽量使用官方提供的镜像或自己构建的镜像
尽量给docker目录(默认/var/lib/docker/)分配独立的文件系统
尽量以资源限制的方式运行容器 -m --memory-swap --cpu-quota --cpu-shares --cpuset-cpus --device-write-bps
尽量以只读的方式挂载数据卷,持久化容器数据到宿主机的除外 -v 宿主机目录:容器数据卷目录:ro
尽量设置容器的重启策略和次数 --restart always|on-failure:N
尽量对镜像进行漏洞扫描

使用最少资源和最低权限运行容器,此为 Docker 容器安全的核心思想。

相关推荐
随性而行3601 小时前
微信API接口与AI自动化:开发者的实现思路
运维·服务器·开发语言·人工智能·微信·自动化
有毒的教程1 小时前
Kubernetes进阶实战教程(生产落地完整版)
云原生·容器·kubernetes
糖果店的幽灵2 小时前
安全测试从入门到精通 - 环境搭建与基础工具选择
安全·web安全
鱼听禅2 小时前
Ubuntu学习笔记-安装docker容器
学习·ubuntu·docker
Joker时代3 小时前
重塑Web3安全防线:Vkey验证器正式登陆安卓与iOS平台,开启数字资产防护新纪元
安全·web3
科技发布3 小时前
有没有安全正规的广告交易平台?推荐传播易APP
安全
胖兔纸23 小时前
OpenStack 1.7.2 & Ceph 9.2.1 运维命令
运维·ceph·openstack
JL153 小时前
Agent工程-为什么Agent必须有观测和Tracing
服务器·网络·人工智能·安全
不会C语言的男孩3 小时前
Docker 在嵌入式设备中的常用玩法
运维·docker·容器
秋播3 小时前
rancher 部署statefulset mariadb 10.5
云原生