描述
验证docker.socket文件所有权和组所有权是否正确设置为root
隐患分析
docker.socket文件包含可能会改变Docker远程API行为的敏感参数。
因此,它应该拥有root权限,以保持文件的完整性。
审计方式
systemctl show -p FragmentPath docker.socket|sed "s/FragmentPath=//"|xargs -n1 ls -l
返回值应为
-rw-r--r-- 1 root root 197 Mar 10 2020 /usr/lib/systemd/system/docker.socket
修复建议
若所属用户非root:root,修改授权
$ systemctl show -p FragmentPath docker.socket|sed "s/FragmentPath=//"|xargs -n1 chown root:root
参考文档
- Docker容器最佳安全实践白皮书(V1.0)
- Docker官方文档
网友评论