Docker容器安全实践：限制权限与苹果iOS11设计规范

"该文档是Dosec安全团队根据CIS的Docker安全标准和实践经验编写的Docker容器最佳安全实践白皮书，旨在提供一套详细的Docker安全配置指南，以增强容器的安全性。文中特别强调了限制容器获取新的权限，以防止不必要的权限提升和潜在的安全风险。" 在Docker容器安全领域，限制容器获取新的权限是至关重要的一个环节。标题提到的“限制容器获取新的权限”是指避免Docker容器通过suid或sgid位获取额外的系统权限。这主要涉及Linux内核中的`no_new_priv`标志，它使得一旦进程启动，就不能通过这些特殊权限增加新的特权。这样做可以减少因意外或恶意行为导致的安全漏洞利用，特别是对于运行非可信代码的容器。 安全出发点在于，当Docker守护进程（dockerd）以`--no-new-privileges`参数运行时，所有新创建的容器都将受到此限制，无法在运行时增加额外的权限。这有助于保护主机系统，因为即使容器内部尝试执行提升权限的操作，也不会成功。审计方法可以通过`ps -ef | grep dockerd`检查`--no-new-privileges`参数是否被正确设置。 然而，值得注意的是，`no_new_priv`也会影响如SELinux这样的强制访问控制（MAC）机制，可能导致容器无法访问某些进程标签。默认情况下，Docker容器并不会获得新的权限，但通过配置守护进程参数，可以明确地启用这一保护机制。 除了限制权限获取，白皮书还提供了多个其他Docker安全最佳实践，包括但不限于： 1. 为主机创建单独的分区，以隔离容器的文件系统。 2. 加固容器宿主机，包括更新Docker到最新版本，只允许受信任的用户控制Docker守护进程，并定期审计Docker相关文件和目录。 3. 配置Docker守护进程，如限制默认网桥上的网络流量，设置适当的日志级别，启用用户命名空间，以及使用安全的存储驱动等。 4. 使用TLS身份验证增强Docker守护进程通信的安全性。 5. 控制容器的资源使用，如设置内存和CPU限制，以及配置合适的ulimit。 6. 禁用旧版本的仓库操作，启用实时恢复功能，以及禁用不安全的用户land代理等。 这些最佳实践旨在全面提高Docker环境的安全性，降低容器被攻击的风险。遵循这些指南，不仅可以保护容器内的应用，还能保护宿主机和其他容器免受潜在威胁。