建议用户在生产环境中进行如下操作,加固镜像。
- 在基础镜像中创建非root用户,并且以非root用户启动镜像、启动进程,同时仅授予用户必要的capability,避免高权限用户造成容器逃逸等安全风险。
- 合理控制镜像中文件的属主和权限,避免不必要的越权访问造成容器逃逸等安全风险。
- 及时修复基础镜像中的漏洞。
- 分发镜像时,建议开启Docker的Content trust功能。
Seccomp配置
seccomp配置可约束容器的系统调用,减少容器对系统的影响面,具体参见seccomp.md。
在kubernetes的1.19以下的版本中,seccomp使用的是annotations[seccomp.security.alpha.kubernetes.io/pod]注解方式。在1.19及以上的版本,seccomp特性已经GA。1.19及以上版本推荐使用securityContext.seccompProfile进行配置,并且1.27版本开始注解方式不再生效,具体参见:Kubernetes Removals and Major Changes In v1.27 。所以用户需要根据不同的kubernetes版本与容器安全需求,自行修改seccomp配置。
需要修改启动配置文件的MindCluster组件中已经提供了两种不同的配置方式。以下是Resilience Controller的seccomp配置,其他组件都预留了相关的配置。
metadata:
labels:
app: resilience-controller
##### For Kubernetes versions lower than 1.19, seccomp is used with annotations.
annotations:
seccomp.security.alpha.kubernetes.io/pod: runtime/default
spec:
##### For Kubernetes versions 1.19 and above, seccomp is used with securityContext.
# securityContext:
# seccompProfile:
# type: RuntimeDefault
...