启用docker客户端命令的授权

描述

使用本机Docker授权插件或第三方授权机制与Docker守护程序来管理对Docker客户端命令的访问。

隐患分析

Docker默认是没有对客户端命令进行授权管理的功能。 任何有权访问Docker守护程序的用户都可以运行任何Docker客户端命令。 对于使用Docker远程API来调用守护进程的调用者也是如此。 如果需要细粒度的访问控制,可以使用授权插件并将其添加到Docker守护程序配置中。 使用授权插件,Docker管理员可以配置更细粒度访问策略来管理对Docker守护进程的访问。 Docker的第三方集成可以实现他们自己的授权模型,以要求Docker的本地授权插件 (即KubernetesCloud FoundryOpenshift)之外的Docker守护进程的授权。

审计方式

shell script $ ps -ef|grep dockerd 或 $ cat /etc/docker/daemon.json|grep userland-proxy

如果使用Docker本地授权,可使用--authorization-plugin参数加载授权插件。

修复建议

如无特殊需求,默认值即可

参考文档

Copyright © weiliang 2021 all right reserved,powered by Gitbook本书发布时间: 2024-04-22 16:03:42

results matching ""

    No results matching ""