0

0

Linux 容器安全策略与加固实践

冷炫風刃

冷炫風刃

发布时间:2026-02-19 15:48:09

|

516人浏览过

|

来源于php中文网

原创

容器必须降权运行、禁挂敏感路径、启用镜像签名、实施默认拒绝网络策略。具体包括:dockerfile设user 1001,k8s配runasnonroot;禁止挂载/proc、/sys等;开启docker_content_trust;networkpolicy显式定义ingress/egress并覆盖全pod。

linux 容器安全策略与加固实践

容器运行时权限必须降为非 root

绝大多数容器默认以 root 身份启动,一旦镜像或应用存在漏洞,攻击者能直接获得宿主机级权限。这不是理论风险——docker exec -u 0 进去就能验证权限是否真被限制。

实操建议:

  • Dockerfile 中显式声明 USER 1001(非 0 的 UID),并确保该用户对所需目录有读写权限
  • Kubernetes 场景下,必须设置 securityContext.runAsNonRoot: truesecurityContext.runAsUser: 1001
  • 避免用 user: "root"user: "0" 覆盖配置,某些基础镜像(如 alpine:latest)默认没创建非 root 用户,得自己 adduser
  • 注意:Java 应用若绑定 80 端口,不能靠降权解决——改用 8080,别在容器里开 setcap 'cap_net_bind_service=+ep' /usr/bin/java

禁止挂载敏感宿主机路径

/proc/sys/var/run/docker.sock 这类路径一旦挂进容器,等于把宿主机控制权交出去。常见错误是调试时随手加 -v /var/run/docker.sock:/var/run/docker.sock,结果 CI 容器能拉取并运行任意镜像。

实操建议:

  • 检查所有 docker run 命令和 volumeMounts,删除任何指向 /proc/sys/fs/cgroup/etc/shadow 的挂载
  • 确需访问宿主机信息(如获取节点 IP),优先用 downward API 或 hostNetwork: true,而非挂载 /proc/sys/net
  • Kubernetes 中启用 PodSecurityPolicy(旧版)或 PodSecurity Admission(1.25+),限制 hostPath 类型为 readOnly 且路径白名单化
  • 注意:/dev 挂载也要谨慎——/dev/sda 可能被误读为块设备,/dev/null 除外

镜像必须启用内容信任与签名验证

不验签的镜像等于盲装二进制包。Docker Hub 上大量流行镜像(如 node:18)虽官方维护,但中间传输链路未加密,MITM 攻击可替换层数据。错误现象是:docker pull nginx:alpine 成功,但实际拉下的镜像哈希与官网文档不符。

Molica AI
Molica AI

一款聚合了多种AI工具的一站式创作平台

下载

实操建议:

  • 启用 Docker 内容信任:export DOCKER_CONTENT_TRUST=1,此后所有 pullpush 强制校验签名
  • 私有 Registry(如 Harbor)必须开启 notary 或集成 Cosign,推送前用 cosign sign 签名,拉取时用 cosign verify
  • CI 流水线中禁止使用 FROM ubuntu:latest,改用带 digest 的固定版本:FROM ubuntu@sha256:abc123...
  • 注意:docker build --no-cache 不影响镜像签名有效性,但 docker load 进来的镜像默认无签名,需重新 sign

网络策略必须默认拒绝,按需放行

默认允许所有容器间通信是最大误区。一个被攻破的 redis 容器能直接扫描同 namespace 下的 etcd 端口,只因没设网络隔离。错误日志里常看到 Connection refused 是好事,timeout 才危险——说明连接发出去了但没回包,可能已被防火墙丢弃或目标端口开放。

实操建议:

  • Kubernetes 中禁用 default-deny 的 NetworkPolicy 无效,必须显式创建一条匹配全部 Pod 的 egress: [] + ingress: [] 规则
  • calicoctlkubectl apply -f 部署策略时,确认 policyTypes 包含 ["Ingress", "Egress"],否则只生效入向
  • 避免用 ipBlock 放行整个 10.0.0.0/8,应精确到服务 ClusterIP 或 endpoint IP;出向 DNS 必须显式允许 port: 53,否则 curl google.com 会卡住
  • 注意:hostNetwork: true 的 Pod 完全绕过 NetworkPolicy,这类 Pod 必须单独加固或隔离到专用节点

真正难的不是配几条规则,而是持续发现隐性依赖——比如某业务突然连不上数据库,查半天发现是新上线的 NetworkPolicy 拦了健康检查探针的源端口范围。自动化策略生成工具容易漏掉这种动态端口,得靠 eBPF 工具(如 Cilium CLI)实时抓包验证。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
nginx 重启
nginx 重启

nginx重启对于网站的运维来说是非常重要的,根据不同的需求,可以选择简单重启、平滑重启或定时重启等方式。本专题为大家提供nginx重启的相关的文章、下载、课程内容,供大家免费下载体验。

240

2023.07.27

nginx 配置详解
nginx 配置详解

Nginx的配置是指设置和调整Nginx服务器的行为和功能的过程。通过配置文件,可以定义虚拟主机、HTTP请求处理、反向代理、缓存和负载均衡等功能。Nginx的配置语法简洁而强大,允许管理员根据自己的需要进行灵活的调整。php中文网给大家带来了相关的教程以及文章,欢迎大家前来学习阅读。

516

2023.08.04

nginx配置详解
nginx配置详解

NGINX与其他服务类似,因为它具有以特定格式编写的基于文本的配置文件。本专题为大家提供nginx配置相关的文章,大家可以免费学习。

566

2023.08.04

tomcat和nginx有哪些区别
tomcat和nginx有哪些区别

tomcat和nginx的区别:1、应用领域;2、性能;3、功能;4、配置;5、安全性;6、扩展性;7、部署复杂性;8、社区支持;9、成本;10、日志管理。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

242

2024.02.23

nginx报404怎么解决
nginx报404怎么解决

当访问 nginx 网页服务器时遇到 404 错误,表明服务器无法找到请求资源,可以通过以下步骤解决:1. 检查文件是否存在且路径正确;2. 检查文件权限并更改为 644 或 755;3. 检查 nginx 配置,确保根目录设置正确、没有冲突配置等等。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

520

2024.07.09

Nginx报404错误解决方法
Nginx报404错误解决方法

解决方法:只需要加上这段配置:try_files $uri $uri/ /index.html;即可。想了解更多Nginx的相关内容,可以阅读本专题下面的文章。

3606

2024.08.07

nginx部署php项目教程汇总
nginx部署php项目教程汇总

本专题整合了nginx部署php项目教程汇总,阅读专题下面的文章了解更多详细内容。

49

2026.01.13

nginx配置文件详细教程
nginx配置文件详细教程

本专题整合了nginx配置文件相关教程详细汇总,阅读专题下面的文章了解更多详细内容。

66

2026.01.13

pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法
pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法

本专题系统整理pixiv网页版官网入口及登录访问方式,涵盖官网登录页面直达路径、在线阅读入口及快速进入方法说明,帮助用户高效找到pixiv官方网站,实现便捷、安全的网页端浏览与账号登录体验。

660

2026.02.13

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
PostgreSQL 教程
PostgreSQL 教程

共48课时 | 9.4万人学习

Git 教程
Git 教程

共21课时 | 3.7万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号