描述
最新的Docker镜像仓库是v2。遗留镜像仓库版本v1上的所有操作都应受到限制
隐患分析
Docker镜像仓库v2在v1中引入了许多性能和安全性改进。
它支持容器镜像来源验证和其他安全功能。因此,对Docker v1仓库的操作应该受到限制
审计方式
$ ps -ef|grep dockerd
上面的命令应该列出--disable-legacy-registry作为传递给Docker守护进程的选项。
修复建议
注意:17.12+版本已移除,无需配置
编辑配置文件
$ vi /etc/systemd/system/docker.service
ExecStart=/usr/bin/dockerd添加参数--userns-remap=default
重载服务
$ systemctl daemon-reload
$ systemctl restart docker
参考文档
- Docker容器最佳安全实践白皮书(V1.0)
- Docker官方文档
网友评论