【开端】docker基线漏洞修复

一、限制容器之间的网络流量

vim /etc/docker/daemon.json

添加以下内容到 daemon.json 文件中:

{

"icc": false

}

sudo service docker restart

docker restart apollo-configservice

docker restart apollo-portal

docker restart apollo-adminservice

docker restart ctg-eureka

docker restart nginx

systemctl start docker

二、限制容器的内存使用量

docker stats {container_id/container_name}

docker stats apollo-portal

docker stats apollo-configservice

docker stats apollo-adminservice

docker stats ctg-eureka

docker stats nginx

docker update --memory 5GiB --memory-swap -1 apollo-portal

docker update --memory 5GiB --memory-swap -1 apollo-configservice

docker update --memory 5GiB --memory-swap -1 apollo-adminservice

docker update --memory 15GiB --memory-swap -1 ctg-eureka

docker update --memory 15GiB --memory-swap -1 nginx

三、为Docker启用内容信任

vim /etc/profile

export DOCKER_CONTENT_TRUST=1

source /etc/profile

四 、将容器的根文件系统挂载为只读

docker run --interactive --tty --read-only --volume <writable-volume> <Container Image Name or ID>

docker run --interactive --tty --read-only --volume /home/docker/apps/eureka/ ctg-eureka

docker run --interactive --tty --read-only --volume /home/docker/apps/nginx/ nginx

例子:

docker run --interactive --tty --read-only --volume /tmp --name ctg-eureka -d -p 8761:8761 ctg-eureka

--interactive --tty --read-only --volume /tmp

docker run -v /home/docker/apps/eureka:/var/lib/docker --read-only ctg-eureka

五、审核Docker文件和目录

在/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件中添加以下行:

vim /etc/audit/audit.rules

vim /etc/audit/rules.d/audit.rules

-w /var/lib/docker -k docker

-w /etc/docker -k docker

-w /usr/lib/systemd/system/docker.service -k docker

-w /usr/lib/systemd/system/docker.socket -k docker

-w /usr/bin/docker-containerd -k docker

-w /usr/bin/docker-runc -k docker

service auditd restart

bash 复制代码
一、限制容器之间的网络流量

vim  /etc/docker/daemon.json
添加以下内容到 daemon.json 文件中:

{
    "icc": false
}
 
 
 

sudo service docker restart

docker restart apollo-configservice 
docker restart apollo-portal
docker restart  apollo-adminservice

docker restart  ctg-eureka 
docker restart  nginx
systemctl start docker

 

二、限制容器的内存使用量

docker stats {container_id/container_name}
docker stats  apollo-portal
docker stats apollo-configservice 
docker stats apollo-adminservice

docker stats ctg-eureka
docker stats nginx
 

docker update --memory 5GiB --memory-swap -1 apollo-portal
docker update --memory 5GiB --memory-swap -1 apollo-configservice 
docker update --memory 5GiB --memory-swap -1 apollo-adminservice

docker update --memory 15GiB --memory-swap -1 ctg-eureka
docker update --memory 15GiB --memory-swap -1 nginx


三、为Docker启用内容信任

 vim  /etc/profile

export DOCKER_CONTENT_TRUST=1

source  /etc/profile


四 、将容器的根文件系统挂载为只读

docker run --interactive --tty --read-only --volume <writable-volume> <Container Image Name or ID> 

docker run --interactive --tty --read-only --volume  /home/docker/apps/eureka/ ctg-eureka

docker run --interactive --tty --read-only --volume  /home/docker/apps/nginx/ nginx

例子:

docker run  --interactive --tty --read-only --volume /tmp --name ctg-eureka -d -p 8761:8761 ctg-eureka
 --interactive --tty --read-only --volume /tmp
 
 docker run -v /home/docker/apps/eureka:/var/lib/docker  --read-only ctg-eureka  


五、审核Docker文件和目录

在/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件中添加以下行:

vim  /etc/audit/audit.rules
vim  /etc/audit/rules.d/audit.rules

-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/docker-containerd -k docker
-w /usr/bin/docker-runc -k docker


service auditd restart

 
相关推荐
xqlily10 小时前
Linux操作系统之Ubuntu
linux·运维·ubuntu
落日漫游10 小时前
dockercompose和k8s区别
docker·kubernetes
倔强的石头10610 小时前
【Linux指南】Makefile入门:从概念到基础语法
linux·运维·服务器
ajassi200010 小时前
linux C 语言开发 (七) 文件 IO 和标准 IO
linux·运维·服务器
一只游鱼11 小时前
Zookeeper介绍与部署(Linux)
linux·运维·服务器·zookeeper
lllsure11 小时前
【Docker】存储卷
运维·docker·容器
wheeldown12 小时前
【Linux】 存储分级的秘密
linux·运维·服务器
不做菜鸟的网工12 小时前
Headscale 的部署方法和使用教程
运维
天天进步201512 小时前
掌握React状态管理:Redux Toolkit vs Zustand vs Context API
linux·运维·react.js
有谁看见我的剑了?12 小时前
k8s-容器探针和生命周期回调学习
学习·容器·kubernetes