描述
使用本机Docker授权插件或第三方授权机制与Docker守护程序来管理对Docker客户端命令的访问。
隐患分析
Docker默认是没有对客户端命令进行授权管理的功能。
任何有权访问Docker守护程序的用户都可以运行任何Docker客户端命令。
对于使用Docker远程API来调用守护进程的调用者也是如此。
如果需要细粒度的访问控制,可以使用授权插件并将其添加到Docker守护程序配置中。
使用授权插件,Docker管理员可以配置更细粒度访问策略来管理对Docker守护进程的访问。
Docker的第三方集成可以实现他们自己的授权模型,以要求Docker的本地授权插件
(即Kubernetes,Cloud Foundry,Openshift)之外的Docker守护进程的授权。
审计方式
$ ps -ef|grep dockerd
或
$ cat /etc/docker/daemon.json|grep userland-proxy
如果使用Docker本地授权,可使用--authorization-plugin参数加载授权插件。
修复建议
如无特殊需求,默认值即可
参考文档
- Docker容器最佳安全实践白皮书(V1.0)
- Docker官方文档
网友评论