设置docker.sock文件所有权为root:docker

描述

验证docker.sock文件由root拥有，而用户组为docker。

隐患分析

Docker守护进程以root用户身份运行。因此，默认的Unix套接字必须由root拥有。如果任何其他用户或进程拥有此套接字，那么该非特权用户或进程可能与Docker守护进程交互。另外，这样的非特权用户或进程可能与容器交互，这样非常不安全。另外，Docker安装程序会创建一个名为docker的用户组。可以将用户添加到该组，然后这些用户将能够读写默认的Docker Unix套接字。 docker组成员由系统管理员严格控制。如果任何其他组拥有此套接字，那么该组的成员可能会与Docker守护进程交互。。因此，默认的Docker Unix套接字文件必须由docker组拥有权限，以维护套接字文件的完整性

审计

```shell script [root@localhost ~]# stat -c %U:%G /var/run/docker.sock root:docker


### 修复建议

若所属用户非`root:docker`，修改授权
```shell script
$ chown root:docker /var/run/docker.sock

设置docker.sock文件权限为660或更多限制性

描述

验证docker套接字文件是否具有660或更多限制的权限

隐患分析

只有root和docker组的成员允许读取和写入默认的Docker Unix套接字。因此，Docker套接字文件必须具有660或更多限制的权限

审计

```shell script [root@localhost ~]# stat -c %a /var/run/docker.sock 660


### 修复建议

若权限非`660`，修改授权
```shell script
$ chmod 660 /var/run/docker.sock

参考文档

Docker容器最佳安全实践白皮书（V1.0）
Docker官方文档

07socket监听文件加固

设置docker.sock文件所有权为root:docker

描述

隐患分析

审计

设置docker.sock文件权限为660或更多限制性

描述

隐患分析

审计

参考文档

results matching ""

No results matching ""