容器镜像安全加固
- 建议在基础镜像中创建非root用户,并且以非root用户启动镜像、启动进程,同时仅授予用户必要的capability,避免高权限用户造成容器逃逸等安全风险。
- 合理控制镜像中文件的属主和权限,避免不必要的越权访问造成容器逃逸等安全风险。
- 及时修复基础镜像中的漏洞。
- 分发镜像时,建议开启Docker的Content trust功能。
- 应避免在Dockerfile中使用ADD指令,使用ADD操作未知来源的文件,存在安全风险。
- 应避免在Dockerfile中存储敏感信息。
- 应避免单独使用update更新指令。
- 为容器增加健康检查机制,并核查健康检查指定的脚本或命令的合法性,需要确保脚本或命令不会导致业务或系统异常。
- 应避免在容器中包含SUID和SGID权限的文件和目录。
- 为容器设置系统资源的配额,避免容器占用过多的系统资源,导致资源耗尽。系统资源包括但不限于CPU、内存。