下载
中文
注册
我要评分
文档获取效率
文档正确性
内容完整性
文档易理解
在线提单
论坛求助
昇腾小AI

启用对Docker的审计功能

审计内容

  • Docker守护进程在主机里是以root权限运行的,权限很大。建议用户在主机上配置一种对Docker守护进程运行和使用状态的审计机制。一旦Docker守护进程出现越权攻击行为,可以追溯攻击事件根源。开启审计功能请参见开启对Docker的审计功能
  • 以下目录存放着跟容器相关的重要信息,建议对如下目录和关键文件配置审计功能。
    • /usr/bin/dockerd
    • /var/lib/docker
    • /etc/docker
    • /etc/default/docker
    • /etc/sysconfig/docker
    • /etc/docker/daemon.json
    • /usr/bin/docker-containerd
    • /usr/bin/containerd
    • /usr/bin/docker-runc
    • docker.service
    • docker.socket

    以上目录为Docker默认的安装目录,如果为Docker创建了单独的分区,路径可能会变。开启审计功能请参见开启对Docker的审计功能

开启对Docker的审计功能

默认情况下主机没有开启审计功能。可以通过以下方式添加审计规则。

开启审计机制需要安装auditd软件,如Ubuntu可使用apt install -y auditd命令进行安装。

  1. 在文件“/etc/audit/audit.rules”中添加规则,每个规则为一行,规则的格式如下。
    -w file_path -k docker
    表1 参数说明

    参数

    说明

    -w

    筛选文件路径。

    file_path

    开启审计规则的文件路径。如:

    • file_path为/usr/bin/docker时,表示开启主机对Docker守护进程的审计。
    • file_path为/etc/docker时,表示开启主机对Docker相关目录和关键文件审计。

    -k

    筛选字符串,用于按照规定的关键字筛选。

    如果“/etc/audit/audit.rules”文件中有“This file is automatically generated from /etc/audit/rules.d”,此时修改“/etc/audit/audit.rules”文件无效,需要修改“/etc/audit/rules.d/audit.rules”文件才能生效。如在Ubuntu系统中需要修改“/etc/audit/rules.d/audit.rules”文件。

  2. 配置完成后需要重启日志守护进程。
    service auditd restart
搜索结果
找到“0”个结果

当前产品无相关内容

未找到相关内容,请尝试其他搜索词