设置Docker配置文件权限
TLS CA证书权限配置
- TLS CA证书文件属主和属组设为root:root,权限设为400。
保护TLS CA证书文件(用参数--tlscacert指定CA证书文件的路径),防止其被篡改。证书文件用于指定的CA证书认证Docker服务器。因此,其属主和属组必须是root,权限必须为400,才能保证CA证书的完整性。
可以通过以下方式设置。
- 执行以下命令,将文件的属主和属组设为root。
chown root:root <path to TLS CA certificate file>
path to TLS CA certificate file路径一般为“/usr/local/share/ca-certificates”。
- 将文件权限设为400。
chmod 400 <path to TLS CA certificate file>
- 执行以下命令,将文件的属主和属组设为root。
“/etc/docker/daemon.json”文件权限配置
- daemon.json文件属主和属组设为root:root,文件权限设为600。
daemon.json文件包含更改Docker守护进程的敏感参数,是重要的全局配置文件,其属主和属组必须是root,且只对root可写,以保证文件的完整性。该文件并不是默认存在的。
- 如果daemon.json文件默认不存在,说明产品没有使用该文件进行配置,那么可以执行以下命令,在启动参数中将配置文件设置为空,不使用该文件作为默认配置文件,避免被攻击者恶意创建并修改配置。
docker --config-file=""
- 如果产品环境存在daemon.json文件,说明已经使用了该文件进行配置操作,需要设置相应权限,防止被恶意修改。
- 执行以下命令,将文件的属主和属组设为root。
chown root:root /etc/docker/daemon.json
- 执行以下命令,将文件权限设为600。
chmod 600 /etc/docker/daemon.json
- 执行以下命令,将文件的属主和属组设为root。
- 如果daemon.json文件默认不存在,说明产品没有使用该文件进行配置,那么可以执行以下命令,在启动参数中将配置文件设置为空,不使用该文件作为默认配置文件,避免被攻击者恶意创建并修改配置。
父主题: 容器安全加固