【开端】docker基线漏洞修复

一、限制容器之间的网络流量

vim /etc/docker/daemon.json

添加以下内容到 daemon.json 文件中:

{

"icc": false

}

sudo service docker restart

docker restart apollo-configservice

docker restart apollo-portal

docker restart apollo-adminservice

docker restart ctg-eureka

docker restart nginx

systemctl start docker

二、限制容器的内存使用量

docker stats {container_id/container_name}

docker stats apollo-portal

docker stats apollo-configservice

docker stats apollo-adminservice

docker stats ctg-eureka

docker stats nginx

docker update --memory 5GiB --memory-swap -1 apollo-portal

docker update --memory 5GiB --memory-swap -1 apollo-configservice

docker update --memory 5GiB --memory-swap -1 apollo-adminservice

docker update --memory 15GiB --memory-swap -1 ctg-eureka

docker update --memory 15GiB --memory-swap -1 nginx

三、为Docker启用内容信任

vim /etc/profile

export DOCKER_CONTENT_TRUST=1

source /etc/profile

四 、将容器的根文件系统挂载为只读

docker run --interactive --tty --read-only --volume <writable-volume> <Container Image Name or ID>

docker run --interactive --tty --read-only --volume /home/docker/apps/eureka/ ctg-eureka

docker run --interactive --tty --read-only --volume /home/docker/apps/nginx/ nginx

例子:

docker run --interactive --tty --read-only --volume /tmp --name ctg-eureka -d -p 8761:8761 ctg-eureka

--interactive --tty --read-only --volume /tmp

docker run -v /home/docker/apps/eureka:/var/lib/docker --read-only ctg-eureka

五、审核Docker文件和目录

在/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件中添加以下行:

vim /etc/audit/audit.rules

vim /etc/audit/rules.d/audit.rules

-w /var/lib/docker -k docker

-w /etc/docker -k docker

-w /usr/lib/systemd/system/docker.service -k docker

-w /usr/lib/systemd/system/docker.socket -k docker

-w /usr/bin/docker-containerd -k docker

-w /usr/bin/docker-runc -k docker

service auditd restart

bash 复制代码
一、限制容器之间的网络流量

vim  /etc/docker/daemon.json
添加以下内容到 daemon.json 文件中:

{
    "icc": false
}
 
 
 

sudo service docker restart

docker restart apollo-configservice 
docker restart apollo-portal
docker restart  apollo-adminservice

docker restart  ctg-eureka 
docker restart  nginx
systemctl start docker

 

二、限制容器的内存使用量

docker stats {container_id/container_name}
docker stats  apollo-portal
docker stats apollo-configservice 
docker stats apollo-adminservice

docker stats ctg-eureka
docker stats nginx
 

docker update --memory 5GiB --memory-swap -1 apollo-portal
docker update --memory 5GiB --memory-swap -1 apollo-configservice 
docker update --memory 5GiB --memory-swap -1 apollo-adminservice

docker update --memory 15GiB --memory-swap -1 ctg-eureka
docker update --memory 15GiB --memory-swap -1 nginx


三、为Docker启用内容信任

 vim  /etc/profile

export DOCKER_CONTENT_TRUST=1

source  /etc/profile


四 、将容器的根文件系统挂载为只读

docker run --interactive --tty --read-only --volume <writable-volume> <Container Image Name or ID> 

docker run --interactive --tty --read-only --volume  /home/docker/apps/eureka/ ctg-eureka

docker run --interactive --tty --read-only --volume  /home/docker/apps/nginx/ nginx

例子:

docker run  --interactive --tty --read-only --volume /tmp --name ctg-eureka -d -p 8761:8761 ctg-eureka
 --interactive --tty --read-only --volume /tmp
 
 docker run -v /home/docker/apps/eureka:/var/lib/docker  --read-only ctg-eureka  


五、审核Docker文件和目录

在/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件中添加以下行:

vim  /etc/audit/audit.rules
vim  /etc/audit/rules.d/audit.rules

-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/docker-containerd -k docker
-w /usr/bin/docker-runc -k docker


service auditd restart

 
相关推荐
IT成长日记2 小时前
【Docker基础】Docker数据持久化与卷(Volume)介绍
运维·docker·容器·数据持久化·volume·
热爱生活的猴子2 小时前
阿里云服务器正确配置 Docker 国内镜像的方法
服务器·阿里云·docker
物联网老王4 小时前
Ubuntu Linux Cursor 安装与使用一
linux·运维·ubuntu
艾伦_耶格宇5 小时前
【ACP】阿里云云计算高级运维工程师--ACP
运维·阿里云·云计算
FrankYoou6 小时前
Jenkins 与 GitLab CI/CD 的核心对比
java·docker
一位摩羯座DBA6 小时前
Redhat&Centos挂载镜像
linux·运维·centos
隆里卡那唔6 小时前
在dify中通过http请求neo4j时为什么需要将localhost变为host.docker.internal
http·docker·neo4j
疯子的模样6 小时前
Docker 安装 Neo4j 保姆级教程
docker·容器·neo4j
cui_win7 小时前
【网络】Linux 内核优化实战 - net.core.flow_limit_table_len
linux·运维·网络
风清再凯7 小时前
自动化工具ansible,以及playbook剧本
运维·自动化·ansible