CentOS系統Docker安全設置怎么做

CentOS系統Docker安全設置指南

在CentOS系統上部署Docker時，需通過操作系統配置、容器運行時加固、鏡像管理、網絡與權限控制等多維度措施，降低安全風險。以下是具體實施步驟：

1. 操作系統基礎安全配置

• 啟用SELinux：SELinux的強制訪問控制（MAC）可限制容器對宿主機資源的非法訪問。確保/etc/selinux/config中SELINUX=enforcing（若為disabled需重啟系統生效），并通過setsebool -P docker_isolation 1啟用Docker專用SELinux布爾值。
• 使用非root用戶運行Docker：避免Docker守護進程以root身份運行，降低權限濫用風險。執行以下命令添加用戶至docker組并生效：

  sudo usermod -aG docker ${USER}
  su - ${USER}  # 注銷重新登錄
  

• 定期更新系統與Docker：及時修補系統漏洞及Docker引擎bug，執行sudo yum update docker-ce docker-ce-cli containerd.io更新Docker至最新版本。

2. Docker守護進程安全配置

• 配置daemon.json文件：編輯/etc/docker/daemon.json，優化守護進程行為：

  {
    "exec-opts": ["native.cgroupdriver=systemd"],  // 使用systemd管理cgroup
    "log-driver": "json-file",
    "log-opts": {"max-size": "100m", "max-file": "3"},  // 限制日志大小
    "storage-driver": "overlay2",  // 推薦存儲驅動
    "insecure-registries": [],  // 禁用不安全倉庫
    "debug": false,  // 關閉調試模式
    "userns-remapping": "default"  // 啟用用戶命名空間隔離
  }
  

  重啟Docker使配置生效：sudo systemctl restart docker。

3. 容器運行時安全加固

• 限制容器資源：通過--cpus、--memory、--pids-limit參數限制容器資源占用，防止單個容器耗盡宿主機資源：

  docker run -it --cpus=1 --memory=512m --pids-limit=100 ubuntu
  

• 禁用特權模式與最小化Capabilities：避免使用--privileged參數（賦予容器root權限），并通過--cap-drop刪除不必要的能力（如ALL），僅添加必需的權限（如NET_BIND_SERVICE）：

  docker run -it --cap-drop ALL --cap-add NET_BIND_SERVICE ubuntu
  

• 使用安全鏡像：優先選擇官方或可信鏡像（如nginx:alpine），采用多階段構建減少鏡像體積（移除編譯工具等無用組件）；運行前通過Trivy、Clair等工具掃描鏡像漏洞。

4. 網絡與訪問控制

• 配置防火墻規則：使用firewalld限制Docker守護進程端口（默認2375/tcp）訪問，僅允許可信IP：

  sudo firewall-cmd --permanent --zone=trusted --add-service=docker
  sudo firewall-cmd --reload
  

• 隔離容器網絡：避免使用默認bridge網絡，創建自定義網絡（如my-network），將不同業務容器隔離到不同網絡，限制橫向滲透：

  docker network create --driver bridge my-network
  docker run --network=my-network -d nginx
  

• 啟用Docker Content Trust（DCT）：確保拉取的鏡像來自可信源（如Docker Hub官方倉庫），通過簽名驗證鏡像完整性：

  export DOCKER_CONTENT_TRUST=1
  docker pull nginx:latest  # 僅拉取帶簽名的鏡像
  

5. 敏感數據與權限管理

• 安全處理敏感信息：避免在鏡像中硬編碼密碼、API密鑰等敏感信息，使用Docker Secrets（適用于Swarm模式）或環境變量掛載（如-v ./secrets:/run/secrets）管理。
• 避免共享宿主機敏感目錄：不要將/proc、/sys、/dev等宿主機關鍵目錄掛載到容器內，如需掛載需設置為只讀：

  docker run -v /host/data:/data:ro -it ubuntu
  

6. 監控與審計

• 啟用Docker健康檢查：在docker-compose.yml或run命令中添加healthcheck指令，定期檢查容器狀態（如Nginx是否響應）：

  services:
    web:
      image: nginx
      healthcheck:
        test: ["CMD", "curl", "-f", "http://localhost"]
        interval: 30s
        timeout: 10s
        retries: 3
  

• 使用監控與審計工具：通過cAdvisor+Prometheus+Grafana監控容器資源使用情況；用Falco監控容器內異常行為（如未授權進程啟動、網絡異常），及時告警。

以上措施覆蓋了CentOS系統下Docker安全的核心環節，需根據實際業務場景調整（如生產環境需啟用TLS加密Docker API通信）。定期審查安全策略，應對新出現的安全威脅。