启用对Docker的审计功能
审计内容
- Docker守护进程在主机里是以root权限运行的,权限很大。建议用户在主机上配置一种对Docker守护进程运行和使用状态的审计机制。一旦Docker守护进程出现越权攻击行为,可以追溯攻击事件根源。开启审计功能请参见开启对Docker的审计功能。
- 以下目录存放着跟容器相关的重要信息,建议对如下目录和关键文件配置审计功能。
- /usr/bin/dockerd
- /var/lib/docker
- /etc/docker
- /etc/default/docker
- /etc/sysconfig/docker
- /etc/docker/daemon.json
- /usr/bin/docker-containerd
- /usr/bin/containerd
- /usr/bin/docker-runc
- docker.service
- docker.socket
以上目录为Docker默认的安装目录,如果为Docker创建了单独的分区,路径可能会变。开启审计功能请参见开启对Docker的审计功能。
开启对Docker的审计功能
默认情况下主机没有开启审计功能。可以通过以下方式添加审计规则。
开启审计机制需要安装auditd软件,如Ubuntu可使用apt install -y auditd命令进行安装。
- 在文件“/etc/audit/audit.rules”中添加规则,每个规则为一行,规则的格式如下。
-w file_path -k docker
表1 参数说明 参数
说明
-w
筛选文件路径。
file_path
开启审计规则的文件路径。如:
- file_path为/usr/bin/docker时,表示开启主机对Docker守护进程的审计。
- file_path为/etc/docker时,表示开启主机对Docker相关目录和关键文件审计。
-k
筛选字符串,用于按照规定的关键字筛选。
如果“/etc/audit/audit.rules”文件中有“This file is automatically generated from /etc/audit/rules.d”,此时修改“/etc/audit/audit.rules”文件无效,需要修改“/etc/audit/rules.d/audit.rules”文件才能生效。如在Ubuntu系统中需要修改“/etc/audit/rules.d/audit.rules”文件。
- 配置完成后需要重启日志守护进程。
service auditd restart
父主题: 容器安全加固
