Docker容器最佳安全实践 白皮书 （V1.O） 2018年5月 —————————————————————————————————————————————— ※本文档是Dosec安全团队参考CIS的docker安全标准并结合实践经验整理，更多docker安全关注我们的公众号: DoSec容器安全 Docker容器最佳安全实践白皮书（V1.0） ©dosec版权所有 2 目录 1.主机安全配置 ......................................................................................................................... 6 1.1 为容器创建一个单独的分区 .......................................................................................................... 6 1.2 加固容器宿主机 ................................................................................................................................ 7 1.3更新docker到最新版本 .................................................................................................................. 8 1.4只有受信任的用户才能控制docker守护进程 ......................................................................... 9 1.5审计docker守护进程 ..................................................................................................................... 10 1.6审计docker文件和目录-/var/lib/docker ................................................................................. 11 1.7审计docker文件和目录-/etc/docker ....................................................................................... 12 1.8审计docker文件和目录-docker.service .................................................................................. 13 1.9审计docker文件和目录-docker.socket ................................................................................... 14 1.10审计docker文件和目录-/etc/default/docker ..................................................................... 15 1.11审计docker文件和目录-/etc/docker/daemon.json .......................................................... 16 1.12审计docker文件和目录-/usr/bin/docker-containerd ...................................................... 17 1.13审计docker文件和目录-/usr/bin/docker-runc .................................................................. 18 2.docker守护进程配置 ...................................................................................................... 19 2.1限制默认网桥上容器之间的网络流量 ....................................................................................... 19 2.2设置日志级别为info ....................................................................................................................... 20 2.3允许docker更改IPtables ............................................................................................................. 21 2.4不使用不安全的镜像仓库 ............................................................................................................. 22 2.5不使用aufs存储驱动程序 ............................................................................................................ 23 2.6 docker守护进程配置TLS身份认证 .......................................................................................... 24 2.7配置合适的ulimit ............................................................................................................................. 25 2.8启用用户命名空间 ........................................................................................................................... 26 2.9使用默认cgroup .............................................................................................................................. 28 2.10设置容器的默认空间大小 ........................................................................................................... 29 2.11启用docker客户端命令的授权 ................................................................................................ 30 2.12配置集中和远程日志记录 ........................................................................................................... 31 2.13禁用旧仓库版本（v1）上的操作 ............................................................................................. 32 2.14启用实时恢复 .................................................................................................................................. 33 2.15禁用userland代理 ........................................................................................................................ 34 Docker容器最佳安全实践白皮书（V