【开端】docker基线漏洞修复

一、限制容器之间的网络流量

vim /etc/docker/daemon.json

添加以下内容到 daemon.json 文件中:

{

"icc": false

}

sudo service docker restart

docker restart apollo-configservice

docker restart apollo-portal

docker restart apollo-adminservice

docker restart ctg-eureka

docker restart nginx

systemctl start docker

二、限制容器的内存使用量

docker stats {container_id/container_name}

docker stats apollo-portal

docker stats apollo-configservice

docker stats apollo-adminservice

docker stats ctg-eureka

docker stats nginx

docker update --memory 5GiB --memory-swap -1 apollo-portal

docker update --memory 5GiB --memory-swap -1 apollo-configservice

docker update --memory 5GiB --memory-swap -1 apollo-adminservice

docker update --memory 15GiB --memory-swap -1 ctg-eureka

docker update --memory 15GiB --memory-swap -1 nginx

三、为Docker启用内容信任

vim /etc/profile

export DOCKER_CONTENT_TRUST=1

source /etc/profile

四 、将容器的根文件系统挂载为只读

docker run --interactive --tty --read-only --volume <writable-volume> <Container Image Name or ID>

docker run --interactive --tty --read-only --volume /home/docker/apps/eureka/ ctg-eureka

docker run --interactive --tty --read-only --volume /home/docker/apps/nginx/ nginx

例子:

docker run --interactive --tty --read-only --volume /tmp --name ctg-eureka -d -p 8761:8761 ctg-eureka

--interactive --tty --read-only --volume /tmp

docker run -v /home/docker/apps/eureka:/var/lib/docker --read-only ctg-eureka

五、审核Docker文件和目录

在/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件中添加以下行:

vim /etc/audit/audit.rules

vim /etc/audit/rules.d/audit.rules

-w /var/lib/docker -k docker

-w /etc/docker -k docker

-w /usr/lib/systemd/system/docker.service -k docker

-w /usr/lib/systemd/system/docker.socket -k docker

-w /usr/bin/docker-containerd -k docker

-w /usr/bin/docker-runc -k docker

service auditd restart

bash 复制代码
一、限制容器之间的网络流量

vim  /etc/docker/daemon.json
添加以下内容到 daemon.json 文件中:

{
    "icc": false
}
 
 
 

sudo service docker restart

docker restart apollo-configservice 
docker restart apollo-portal
docker restart  apollo-adminservice

docker restart  ctg-eureka 
docker restart  nginx
systemctl start docker

 

二、限制容器的内存使用量

docker stats {container_id/container_name}
docker stats  apollo-portal
docker stats apollo-configservice 
docker stats apollo-adminservice

docker stats ctg-eureka
docker stats nginx
 

docker update --memory 5GiB --memory-swap -1 apollo-portal
docker update --memory 5GiB --memory-swap -1 apollo-configservice 
docker update --memory 5GiB --memory-swap -1 apollo-adminservice

docker update --memory 15GiB --memory-swap -1 ctg-eureka
docker update --memory 15GiB --memory-swap -1 nginx


三、为Docker启用内容信任

 vim  /etc/profile

export DOCKER_CONTENT_TRUST=1

source  /etc/profile


四 、将容器的根文件系统挂载为只读

docker run --interactive --tty --read-only --volume <writable-volume> <Container Image Name or ID> 

docker run --interactive --tty --read-only --volume  /home/docker/apps/eureka/ ctg-eureka

docker run --interactive --tty --read-only --volume  /home/docker/apps/nginx/ nginx

例子:

docker run  --interactive --tty --read-only --volume /tmp --name ctg-eureka -d -p 8761:8761 ctg-eureka
 --interactive --tty --read-only --volume /tmp
 
 docker run -v /home/docker/apps/eureka:/var/lib/docker  --read-only ctg-eureka  


五、审核Docker文件和目录

在/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件中添加以下行:

vim  /etc/audit/audit.rules
vim  /etc/audit/rules.d/audit.rules

-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/docker-containerd -k docker
-w /usr/bin/docker-runc -k docker


service auditd restart

 
相关推荐
唯独失去了从容38 分钟前
WebRTC服务器Coturn服务器的管理平台功能
运维·服务器·webrtc
roman_日积跬步-终至千里3 小时前
【K8s基础】K8s下的Helm和Operator:包管理器与运维程序化
运维·容器·kubernetes
PassLink_5 小时前
[Kaggle]:使用Kaggle服务器训练YOLOv5模型 (白嫖服务器)
运维·服务器·yolo
leo·Thomas6 小时前
Rundeck 介绍及安装:自动化调度与执行工具
docker·自动化·运维工具·rundeck
极小狐6 小时前
极狐GitLab 合并请求依赖如何解决?
运维·git·ssh·gitlab·github
程序猿(雷霆之王)6 小时前
Linux——进程间通信
linux·运维·服务器
技术liul7 小时前
Docker Compose和 Kubernetes(k8s)区别
docker·容器·kubernetes
Cloud_Air7548 小时前
从零开始使用SSH链接目标主机(包括Github添加SSH验证,主机连接远程机SSH验证)
运维·ssh
Hello.Reader9 小时前
基于 Nginx 的 WebSocket 反向代理实践
运维·websocket·nginx
qq_273900239 小时前
CentOS系统防火墙服务介绍
linux·运维·centos