docker安全加固
命令设置限制内存使用:
[root@server2 shm]# docker run --memory 200M --memory-swap 200M -it busybox
但是隔离不彻底,显示仍为宿主及内存,虽然实际内存限制是生效的。
一、加固隔离
1、安装开启
yum install lxcfs-2.0.5-3.el7.centos.x86_64.rpm -y
[root@server2 ~]# cd /var/lib/lxcfs/
[root@server2 lxcfs]# lxcfs /var/lib/lxcfs/ & #运行并打入后台
[root@server2 lxcfs]# cd /var/lib/lxcfs/proc/
[root@server2 proc]# ls
cpuinfo diskstats meminfo stat swaps uptime
2、配置容器启动参数
-v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw
-v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw
-v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw
-v /var/lib/lxcfs/proc/stat:/proc/stat:rw
-v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw
-v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw
只要容器启动时映射了宿主机的这些文件,即可修正 free、top等命令的错误显示
[root@server2 ~]# docker run -it -m 256m \
> -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
> -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
> -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
> -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
> -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
> -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
> ubuntu
二、提升权力,默认不是超户
1、提升权限
docker run --privileged=true -it ubuntu #提升权限
2、添加控制
手册地址:
http://man7.org/linux/man-pages/man7/capabilities.7.html
不同权限不同指令
3、其他的安全加固控制: