??想了解更多關(guān)于開源的內(nèi)容，請(qǐng)?jiān)L問：??

??51CTO 開源基礎(chǔ)軟件社區(qū)??

??https://ost.51cto.com??

一. 容器配置

1、禁止使用特權(quán)容器

使用--privileged啟動(dòng)容器時(shí)，會(huì)將所有內(nèi)核功能賦予容器，從而覆蓋Capability的能力限制。在這種情況下，容器可執(zhí)行主機(jī)層面能做的大部分事情，從而給系統(tǒng)帶來較大的安全隱患，所以應(yīng)該被禁止。

$ docker run -d --privileged nginx

2、限制容器的資源使用

默認(rèn)情況下，主機(jī)上的容器對(duì)于資源的訪問并沒有受到限制。此時(shí)，當(dāng)某個(gè)容器被攻擊或者程序出錯(cuò)時(shí)，將可能因?yàn)檫^多占用資源而影響到主機(jī)和其他容器的運(yùn)行。

因此，可以通過Cgroup的特性來設(shè)置容器的資源使用限制，這樣得以最大程度減少因此類問題而產(chǎn)生的影響 。

示例1：限制CPU可以使用的最大核數(shù)為1 。

$ docker run -d --cpus 1 nginx

示例2：限制容器可以使用特定的CPU，如宿主機(jī)有4個(gè)CPU，我們只允許容器使用第一個(gè)CPU，可以設(shè)置如下 ：

$ docker run -d --cpuset-cpus 0 nginx

示例3：限制容器最大內(nèi)存使用量為512M。

$ docker run -d -m 512m  nginx

3、 隔離容器網(wǎng)絡(luò)

Docker默認(rèn)使用bridge網(wǎng)絡(luò)，該網(wǎng)絡(luò)會(huì)創(chuàng)建一個(gè)虛擬網(wǎng)橋，連接在同一個(gè)網(wǎng)橋之間的容器可以互相訪問。為了提升網(wǎng)絡(luò)安全性，建議不要依賴默認(rèn)的docker0網(wǎng)絡(luò)，而是通過自定義網(wǎng)絡(luò)方式進(jìn)行容器網(wǎng)絡(luò)的劃分，這樣可保證對(duì)宿主機(jī)中的容器之間做到訪問隔離。

另外，在主機(jī)層面也應(yīng)盡可能進(jìn)行網(wǎng)絡(luò)劃分，不同的主機(jī)運(yùn)行不同安全性要求的容器，如開發(fā)環(huán)境、測(cè)試環(huán)境和生產(chǎn)環(huán)境的宿主機(jī)應(yīng)該彼此隔離。

4、禁止掛載主機(jī)系統(tǒng)目錄

主機(jī)中與系統(tǒng)相關(guān)的目錄，包含 /boot、/dev、/etc、/proc、/sys、/usr等，應(yīng)該明令禁止被掛載到容器中。尤其是在讀寫模式下，這種情況會(huì)導(dǎo)致容器具有對(duì)主機(jī)系統(tǒng)進(jìn)行修改的能力，從而給主機(jī)系統(tǒng)帶來極大的安全隱患。

遺憾的是，目前在Docker層面并沒有相關(guān)的技術(shù)方案來限制此類行為，只能通過審計(jì)等手段進(jìn)行發(fā)現(xiàn)。

5、 將容器的根文件系統(tǒng)掛載為只讀

將容器的根文件系統(tǒng)掛載為只讀模式，這種模式可以避免對(duì)根文件系統(tǒng)帶來任何的修改，從而保證了容器的安全性。當(dāng)然，只讀的模式也會(huì)帶來不便 ，需要結(jié)合掛載存儲(chǔ)來使用，將輸出的內(nèi)容寫到持久化存儲(chǔ)中。

配置只讀的方式很簡(jiǎn)單，在啟動(dòng)容器時(shí)添加 --read only 選項(xiàng)，如下：

$ docker run -it  --read-only  nginx sh
# echo 'test' > /root/1.txt
sh: 2: cannot create /root/1.txt: Read-only file system

6、禁止共享主機(jī)的網(wǎng)絡(luò)棧

在啟動(dòng)容器時(shí)，使用--network host 可以讓容器與主機(jī)共享網(wǎng)絡(luò)棧，此時(shí)，容器會(huì)使用主機(jī)的IP及其他的網(wǎng)絡(luò)配置，并自動(dòng)將容器的端口映射到主機(jī)。

這種方法雖然帶來了一定的便利性，但也給容器帶來了風(fēng)險(xiǎn)。在這種模式下，容器內(nèi)可對(duì)主機(jī)的網(wǎng)絡(luò)棧進(jìn)行操作，所以并不建議使用。

$ docker run -d --network host  nginx

二、鏡像管理

1、禁止在鏡像中存儲(chǔ)機(jī)密信息

容器中程序在正常運(yùn)行的過程中，通常需要使用到一些機(jī)密信息，如數(shù)據(jù)庫賬號(hào)密碼、access token等。諸如此類的敏感信息，不應(yīng)被保存到鏡像中，不然會(huì)造成機(jī)密信息泄露風(fēng)險(xiǎn)。

可以使用配置中心等方案，將這些信息移到外部進(jìn)行管理。

2、選用最小化的基礎(chǔ)鏡像

在使用Dockerfile構(gòu)建應(yīng)用鏡像時(shí)，需要選擇一個(gè)鏡像來作為基礎(chǔ)鏡像。對(duì)于該鏡像的選擇，應(yīng)避免使用功能大而全的鏡像，而采用最小化滿足的模式。

這樣可以帶來兩個(gè)好處：

最大程度減少安全漏洞。

減少對(duì)于資源的占用。

3、掃描并驗(yàn)證鏡像

在 2019 年時(shí)，作為安全公司的Snyk 發(fā)現(xiàn)，10大最流行的 Docker 鏡像中，每個(gè)鏡像至少有 30 個(gè)安全漏洞。這足以引起我們對(duì)于鏡像安全的警覺。

通過對(duì)Docker鏡像進(jìn)行漏洞掃描，可以讓開發(fā)和運(yùn)維人員清楚鏡像的安全狀態(tài)，并采取措施修復(fù)發(fā)現(xiàn)的問題，從而實(shí)現(xiàn)更安全的部署。

目前支持鏡像掃描的開源方案有Docker scan、Clair、Anchore等，其中Docker Scan已集成到最新的Docker版本中，可以開箱即用。

4、使用多階段構(gòu)建 

在舊的版本中，構(gòu)建鏡像的操作通常在一個(gè)Dockerfile流程中完成，在這種模式下構(gòu)建的鏡像會(huì)包含很多冗余的文件，如源碼文件、下載的依賴包、打包產(chǎn)生的臨時(shí)文件等。

為了解決這個(gè)問題，Docker在17.05 版本開始支持使用多階段構(gòu)建（Multi-stage builds）。使用這種模式構(gòu)建鏡像時(shí)，我們可以第一階段完成代碼的打包等工作流程，然后在第二階段選擇合適的運(yùn)行鏡像，并將上個(gè)階段生成的包拷貝到鏡像中配置運(yùn)行。

多階段構(gòu)建具有速度快、鏡像體積更小、安全性更高等特點(diǎn)，建議采用此種方式來進(jìn)行鏡像的構(gòu)建 。

示例：

#階段一:編譯打包
FROM maven:3.5.0-jdk-8-alpine AS builder
ADD ./pom.xml pom.xml
ADD ./src src/
RUN mvn clean package
# 階段二：配置運(yùn)行
From openjdk:8-jre-alpine
COPY --from=builder target/my-app-1.0-SNAPSHOT.jar my-app-1.0-SNAPSHOT.jar
EXPOSE 8080
CMD ["java", "-jar", "my-app-1.0-SNAPSHOT.jar"]

三、管理規(guī)范

1、限制用戶對(duì)容器主機(jī)的訪問

運(yùn)行容器的主機(jī)應(yīng)該存放在安全、可靠的環(huán)境中，如IDC機(jī)房，這可以在物理上保證機(jī)器的安全性。同時(shí) ，做好系統(tǒng)登錄權(quán)限的管控，只允許可信任的用戶登錄訪問主機(jī)，這樣能夠減少由于人為影響而出現(xiàn)的故障。

2、定期更新Docker版本

過時(shí)的版本由于已發(fā)現(xiàn)的漏洞，容易受到安全攻擊。新版本通常會(huì)修復(fù)舊版本出現(xiàn)的Bug和程序錯(cuò)誤，有利于更好地保證容器安全。作為容器的管理員，需要定期進(jìn)行Docker版本的更新，并維持著較新的版本。

3、完善容器監(jiān)控

如何合理有效的利用好監(jiān)控是容器管理員的重要工作，一套完善的監(jiān)控系統(tǒng)有利于幫助我們及時(shí)發(fā)現(xiàn)容器的問題，例如資源負(fù)載高、容器退出等。

關(guān)于容器的監(jiān)控，目前比較常用的方案有cAdvisor+Prometheus+Grafana+Alertmanager組合，該方案集成監(jiān)控、展示和告警等系列功能，可以有效發(fā)現(xiàn)容器問題。

??想了解更多關(guān)于開源的內(nèi)容，請(qǐng)?jiān)L問：??

??51CTO 開源基礎(chǔ)軟件社區(qū)??

??https://ost.51cto.com??。