限制容器获取新的权限

描述

默认情况下,限制容器通过suidsgid位获取附加权限

隐患分析

一个进程可以在内核中设置no_new_priv。 它支持forkcloneexecveno_new_priv确保进程或其子进程不会通过suidsgid位获得任何其他特权。 这样,很多危险的操作就降低安全风险。在守护程序级别进行设置可确保默认情况下,所有新容器不能获取新的权限。

审计方法

```shell script ps -ef|grep dockerd 或 cat /etc/docker/daemon.json|grep no-new-privileges


确保`no-new-privileges`配置为`false`

### 修复建议

> 编辑文件

```shell script
$ mkdir -p /etc/docker/
$ vi /etc/docker/daemon.json

添加如下内容

"no-new-privileges": false

重载服务

shell script $ systemctl daemon-reload $ systemctl restart docker

参考文档

Copyright © weiliang 2021 all right reserved,powered by Gitbook本书发布时间: 2024-04-22 16:03:42

results matching ""

    No results matching ""