【开端】docker基线漏洞修复

一、限制容器之间的网络流量

vim /etc/docker/daemon.json

添加以下内容到 daemon.json 文件中:

{

"icc": false

}

sudo service docker restart

docker restart apollo-configservice

docker restart apollo-portal

docker restart apollo-adminservice

docker restart ctg-eureka

docker restart nginx

systemctl start docker

二、限制容器的内存使用量

docker stats {container_id/container_name}

docker stats apollo-portal

docker stats apollo-configservice

docker stats apollo-adminservice

docker stats ctg-eureka

docker stats nginx

docker update --memory 5GiB --memory-swap -1 apollo-portal

docker update --memory 5GiB --memory-swap -1 apollo-configservice

docker update --memory 5GiB --memory-swap -1 apollo-adminservice

docker update --memory 15GiB --memory-swap -1 ctg-eureka

docker update --memory 15GiB --memory-swap -1 nginx

三、为Docker启用内容信任

vim /etc/profile

export DOCKER_CONTENT_TRUST=1

source /etc/profile

四 、将容器的根文件系统挂载为只读

docker run --interactive --tty --read-only --volume <writable-volume> <Container Image Name or ID>

docker run --interactive --tty --read-only --volume /home/docker/apps/eureka/ ctg-eureka

docker run --interactive --tty --read-only --volume /home/docker/apps/nginx/ nginx

例子:

docker run --interactive --tty --read-only --volume /tmp --name ctg-eureka -d -p 8761:8761 ctg-eureka

--interactive --tty --read-only --volume /tmp

docker run -v /home/docker/apps/eureka:/var/lib/docker --read-only ctg-eureka

五、审核Docker文件和目录

在/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件中添加以下行:

vim /etc/audit/audit.rules

vim /etc/audit/rules.d/audit.rules

-w /var/lib/docker -k docker

-w /etc/docker -k docker

-w /usr/lib/systemd/system/docker.service -k docker

-w /usr/lib/systemd/system/docker.socket -k docker

-w /usr/bin/docker-containerd -k docker

-w /usr/bin/docker-runc -k docker

service auditd restart

bash 复制代码
一、限制容器之间的网络流量

vim  /etc/docker/daemon.json
添加以下内容到 daemon.json 文件中:

{
    "icc": false
}
 
 
 

sudo service docker restart

docker restart apollo-configservice 
docker restart apollo-portal
docker restart  apollo-adminservice

docker restart  ctg-eureka 
docker restart  nginx
systemctl start docker

 

二、限制容器的内存使用量

docker stats {container_id/container_name}
docker stats  apollo-portal
docker stats apollo-configservice 
docker stats apollo-adminservice

docker stats ctg-eureka
docker stats nginx
 

docker update --memory 5GiB --memory-swap -1 apollo-portal
docker update --memory 5GiB --memory-swap -1 apollo-configservice 
docker update --memory 5GiB --memory-swap -1 apollo-adminservice

docker update --memory 15GiB --memory-swap -1 ctg-eureka
docker update --memory 15GiB --memory-swap -1 nginx


三、为Docker启用内容信任

 vim  /etc/profile

export DOCKER_CONTENT_TRUST=1

source  /etc/profile


四 、将容器的根文件系统挂载为只读

docker run --interactive --tty --read-only --volume <writable-volume> <Container Image Name or ID> 

docker run --interactive --tty --read-only --volume  /home/docker/apps/eureka/ ctg-eureka

docker run --interactive --tty --read-only --volume  /home/docker/apps/nginx/ nginx

例子:

docker run  --interactive --tty --read-only --volume /tmp --name ctg-eureka -d -p 8761:8761 ctg-eureka
 --interactive --tty --read-only --volume /tmp
 
 docker run -v /home/docker/apps/eureka:/var/lib/docker  --read-only ctg-eureka  


五、审核Docker文件和目录

在/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件中添加以下行:

vim  /etc/audit/audit.rules
vim  /etc/audit/rules.d/audit.rules

-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/docker-containerd -k docker
-w /usr/bin/docker-runc -k docker


service auditd restart

 
相关推荐
心灵宝贝30 分钟前
CentOS 7 安装 bzip2-libs-1.0.6-13.el7.x86_64.rpm 的详细步骤
linux·运维·centos
九皇叔叔2 小时前
Linux Shell 函数:从定义到实战,让脚本更高效
linux·运维·chrome·shell
isyangli_blog5 小时前
(6)数据中心、台式(塔式)服务器、机架式服务器、刀片式服务器
运维·服务器
tq025 小时前
Cookie和Seeion在客户端和服务端的角色作用
运维·服务器·安全
风清再凯5 小时前
06_k8s数据持久化
云原生·容器·kubernetes
做运维的阿瑞6 小时前
Docker 从入门到精通:完整通关笔记
笔记·docker·容器
Miki Makimura6 小时前
Reactor 模式实现:从 epoll 到高并发调试
运维·服务器·c++·学习
00后程序员张7 小时前
【Python】基于 PyQt6 和 Conda 的 PyInstaller 打包工具
运维·服务器·数据库
❀͜͡傀儡师7 小时前
使用docker 安装dragonfly带配置文件(x86和arm)版本
运维·docker·容器
乐迪信息9 小时前
乐迪信息:智慧煤矿输送带安全如何保障?AI摄像机全天候识别
大数据·运维·人工智能·安全·自动化·视觉检测