描述
验证docker.service文件权限是否正确设置为644或更多限制
隐患分析
docker.service文件包含可能会改变Docker守护进程行为的敏感参数。
因此,它应该由root拥有和归属,以保持文件的完整性。
审计方式
[root@localhost ~]# systemctl show -p FragmentPath docker.service|sed "s/FragmentPath=//"|xargs -n1 stat -c %a
644
修复建议
若权限非644,修改授权
$ systemctl show -p FragmentPath docker.service|sed "s/FragmentPath=//"|xargs -n1 chmod 644
参考文档
- Docker容器最佳安全实践白皮书(V1.0)
- Docker官方文档
网友评论