Docker容器安全实践：设置只读根文件系统

"这篇文档是Dosec安全团队根据CIS的Docker安全标准和实践经验编写的Docker容器最佳安全实践白皮书，旨在提供一套详细的Docker安全配置指南。主要内容涉及主机安全配置、Docker守护进程配置以及一系列的审计方法，确保容器环境的安全性。" 在这篇白皮书中，特别提到了“设置容器的根文件系统为只读”的重要性，这是Docker容器安全的一个关键实践。通过将容器的根文件系统设置为只读，可以视其为不可变的“黄金镜像”，避免在容器运行过程中对根文件系统的写入操作。这样做的好处在于增强了安全性，防止了容器实例的文件系统被篡改或意外修改，因为任何对文件系统的写入行为都需要明确的读写权限。 安全出发点是强迫容器在启动时定义其数据写入策略，以减少潜在的安全风险。审计方法可以通过`docker ps --quiet --all | xargs docker inspect --format '{{ .Id }}: ReadonlyRootfs={{ .HostConfig.ReadonlyRootfs }}'`命令来检查容器的根文件系统是否为只读。如果返回true，则表明容器的根文件系统是只读的；若返回false，则表示它是可写的。 为了实现只读根文件系统，有几种修复措施可以采用： 1. 使用`--tmpfs`选项为非持久数据创建临时文件系统，如`docker run --interactive --tty --read-only --tmpfs="/run" --tmpfs="/tmp" centos /bin/bash`。 2. 启用`-v`标志，以`rw`模式挂载主机文件系统的一个目录，例如`docker run --interactive --tty --read-only -v /opt/app/data:/run/app/data:rw centos /bin/bash`。 3. 使用Docker共享卷插件如convoy创建并挂载数据卷，以保留容器数据，如`docker volume create -d convoy --opt o=size=20GB my-named-volume docker run --interactive --tty --read-only -v my-named-volume:/run/app/data centos /bin/bash`。 4. 将容器数据传输到容器外部，例如通过托管数据库、网络文件共享或API，以保持数据的完整性。 然而，这种做法可能会破坏那些依赖于运行时写入根文件系统的容器软件包。因此，需要明确容器的数据写入策略，以决定是否以及如何应用只读根文件系统。 此外，白皮书还涵盖了其他重要的Docker安全配置，如创建单独的容器分区、强化宿主机、更新Docker到最新版本、限制对Docker守护进程的访问、审计Docker相关的文件和目录等，这些都是确保Docker容器安全的重要步骤。这些实践可以帮助提升容器环境的安全性和稳定性，降低安全漏洞的风险。