CentOS系统Docker安全设置怎么做

CentOS系统Docker安全设置指南

在CentOS系统上部署Docker时，需通过操作系统配置、容器运行时加固、镜像管理、网络与权限控制等多维度措施，降低安全风险。以下是具体实施步骤：

1. 操作系统基础安全配置

• 启用SELinux：SELinux的强制访问控制（MAC）可限制容器对宿主机资源的非法访问。确保/etc/selinux/config中SELINUX=enforcing（若为disabled需重启系统生效），并通过setsebool -P docker_isolation 1启用Docker专用SELinux布尔值。
• 使用非root用户运行Docker：避免Docker守护进程以root身份运行，降低权限滥用风险。执行以下命令添加用户至docker组并生效：

  sudo usermod -aG docker ${
  USER}
  
  su - ${
  USER}
    # 注销重新登录
  

• 定期更新系统与Docker：及时修补系统漏洞及Docker引擎bug，执行sudo yum update docker-ce docker-ce-cli containerd.io更新Docker至最新版本。

2. Docker守护进程安全配置

• 配置daemon.json文件：编辑/etc/docker/daemon.json，优化守护进程行为：

  {
  
    "exec-opts": ["native.cgroupdriver=systemd"],  // 使用systemd管理cgroup
    "log-driver": "json-file",
    "log-opts": {
  "max-size": "100m", "max-file": "3"}
  ,  // 限制日志大小
    "storage-driver": "overlay2",  // 推荐存储驱动
    "insecure-registries": [],  // 禁用不安全仓库
    "debug": false,  // 关闭调试模式
    "userns-remapping": "default"  // 启用用户命名空间隔离
  }
      
  

  重启Docker使配置生效：sudo systemctl restart docker。

3. 容器运行时安全加固

• 限制容器资源：通过--cpus、--memory、--pids-limit参数限制容器资源占用，防止单个容器耗尽宿主机资源：

  docker run -it --cpus=1 --memory=512m --pids-limit=100 ubuntu
  

• 禁用特权模式与最小化Capabilities：避免使用--privileged参数（赋予容器root权限），并通过--cap-drop删除不必要的能力（如ALL），仅添加必需的权限（如NET_BIND_SERVICE）：

  docker run -it --cap-drop ALL --cap-add NET_BIND_SERVICE ubuntu
  

• 使用安全镜像：优先选择官方或可信镜像（如nginx:alpine），采用多阶段构建减少镜像体积（移除编译工具等无用组件）；运行前通过Trivy、Clair等工具扫描镜像漏洞。

4. 网络与访问控制

• 配置防火墙规则：使用firewalld限制Docker守护进程端口（默认2375/tcp）访问，仅允许可信IP：

  sudo firewall-cmd --permanent --zone=trusted --add-service=docker
  sudo firewall-cmd --reload
  

• 隔离容器网络：避免使用默认bridge网络，创建自定义网络（如my-network），将不同业务容器隔离到不同网络，限制横向渗透：

  docker network create --driver bridge my-network
  docker run --network=my-network -d nginx
  

• 启用Docker Content Trust（DCT）：确保拉取的镜像来自可信源（如Docker Hub官方仓库），通过签名验证镜像完整性：

  export DOCKER_CONTENT_TRUST=1
  docker pull nginx:latest  # 仅拉取带签名的镜像
  

5. 敏感数据与权限管理

• 安全处理敏感信息：避免在镜像中硬编码密码、API密钥等敏感信息，使用Docker Secrets（适用于Swarm模式）或环境变量挂载（如-v ./secrets:/run/secrets）管理。
• 避免共享宿主机敏感目录：不要将/proc、/sys、/dev等宿主机关键目录挂载到容器内，如需挂载需设置为只读：

  docker run -v /host/data:/data:ro -it ubuntu
  

6. 监控与审计

• 启用Docker健康检查：在docker-compose.yml或run命令中添加healthcheck指令，定期检查容器状态（如Nginx是否响应）：

  services:
    web:
      image: nginx
      healthcheck:
        test: ["CMD", "curl", "-f", "http://localhost"]
        interval: 30s
        timeout: 10s
        retries: 3
  

• 使用监控与审计工具：通过cAdvisor+Prometheus+Grafana监控容器资源使用情况；用Falco监控容器内异常行为（如未授权进程启动、网络异常），及时告警。

以上措施覆盖了CentOS系统下Docker安全的核心环节，需根据实际业务场景调整（如生产环境需启用TLS加密Docker API通信）。定期审查安全策略，应对新出现的安全威胁。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！