启用对Docker的审计功能

审计内容

• Docker守护进程在主机里是以root权限运行的，权限很大。建议用户在主机上配置一种对Docker守护进程运行和使用状态的审计机制。一旦Docker守护进程出现越权攻击行为，可以追溯攻击事件根源。开启审计功能请参见开启对Docker的审计功能。

• 以下目录存放着跟容器相关的重要信息，建议对如下目录和关键文件配置审计功能。
  • /var/lib/docker
  • /etc/docker
  • /etc/default/docker
  • /etc/docker/daemon.json
  • /usr/bin/docker-containerd
  • /usr/bin/docker-runc
  • docker.service
  • docker.socket

  以上目录为Docker默认的安装目录，如果为Docker创建了单独的分区，路径可能会变。开启审计功能请参见开启对Docker的审计功能。

开启对Docker的审计功能

默认情况下主机没有开启审计功能。可以通过以下方式添加审计规则。

1. 在文件“/etc/audit/audit.rules”中添加规则，每个规则为一行，规则的格式如下。

   -w file_path -k docker

   表1 参数说明

   参数	说明
   -w	筛选文件路径。
   file_path	开启审计规则的文件路径。如： file_path为/usr/bin/docker时，表示开启主机对Docker守护进程的审计。 file_path为/etc/docker时，表示开启主机对Docker相关目录和关键文件审计。
   -k	筛选字符串，用于按照规定的关键字筛选。

   

   如果“/etc/audit/audit.rules”文件中有“This file is automatically generated from /etc/audit/rules.d”，此时修改“/etc/audit/audit.rules”文件无效，需要修改“/etc/audit/rules.d/audit.rules”文件才能生效。如在Ubuntu系统中需要修改“/etc/audit/rules.d/audit.rules”文件。

2. 配置完成后需要重启日志守护进程。

   service auditd restart