![](https://img-blog.csdnimg.cn/20201014180756925.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
docker
hengliang_
这个作者很懒,什么都没留下…
展开
-
Docker-镜像中删除setuid和setgid权限
镜像中删除setuid和setgid权限描述删除镜像中的setuid和setgid权限防止容器中的提权攻击。解释setuid和setgid可用于提升权限。 虽然这些权限有时必须,应考虑为镜像中不需要的软件包删除这些权限。审计方法在镜像上运行以下命令以列出具有setuid和setgid权限的可执行文件:docker run <Image_ID> find / -perm +6000-type f -exec ls -ld {} \; 2> /dev/nul.原创 2021-02-05 15:13:06 · 676 阅读 · 0 评论 -
Docker-禁用userland代理
禁用userland代理描述当容器端口需要被映射时,docker守护进程都会启动用于端口转发的userland-proxy方式。 如果使用了DNAT方式,该功能可以被禁用。解释Docker引擎提供了两种机制将主机端口转发到容器,DNAT和userland-proxy。 在大多数情况下,DNAT模式是首选,因为它提高了性能,并使用本地Linux iptables功能而需要附加组件。如果DNAT可用,则应在启动时禁用userland-proxy以减少安全风险。审计方法ps -.原创 2021-02-05 14:54:42 · 2363 阅读 · 0 评论 -
Docker-不使用aufs存储驱动程序
不使用aufs存储驱动程序描述不要使用aufs作为Docker实例的存储驱动。解释'aufs' 存储驱动程序是较旧的存储驱动程序。它是基于 Linux 内核的补丁集,不太可能合并到主要的 Linux 内核中。'aufs' 在 Docker 中只是保留了历史遗留支持的,现在主要是使用 'overlay2' 和 'devicemapper' 。而且最重要的是,在许多的使用最新的 Linux 内核的发行版中,'aufs' 已经不再被支持了。审计方法执行以下命令并验证aufs.原创 2021-02-05 14:46:08 · 604 阅读 · 0 评论 -
Docker-为容器创建一个单独的分区
为容器创建一个单独的分区描述所有Docker容器及数据和元数据都存储在/var/lib/docker目录下。 默认情况下,/var/lib/docker将根据可用性挂载在/或/var分区下。解释Docker依赖于/var/lib/docker作为默认目录,其存储所有Docker相关文件,包括镜像文件。该目录可能会被恶意的写满,导致Docker、甚至主机可能无法使用。因此,建议为存储Docker文件创建一个单独的分区(逻辑卷)。审计方法grep /var/lib/docke.原创 2021-02-05 14:39:12 · 1445 阅读 · 1 评论 -
docker安装rabbitmq镜像,做成容器
1.首先查看rabbit的镜像docker search rabbit根据自己的需要自行根据版本号下载注意:如果需要有web客户端的,需要下载:docker pull3-management tag为3-management时带有web管理界面的,latest不带管理界面2.查看下载好的镜像开始创建rabbitmq容器docker run -d --name myrabbitmq -p 5672:5672 -p 15672:15672 rabb...原创 2020-11-18 11:00:16 · 344 阅读 · 0 评论 -
docker安装mysql镜像,做成容器
1.获取mysql镜像首先查询需要的mysql镜像可以从 Docker Hub 上查看所有 Mysql 的版本,同理也可以查询各个版本使用的详细命令2.mysql镜像下载[root@localhost ~]# docker pull mysql:latestTrying to pull repository docker.io/library/mysql ...5.5: Pulling from docker.io/library/mysqlbe8881be8156: P...原创 2020-11-18 10:39:04 · 879 阅读 · 0 评论 -
docker安装redis镜像,做成容器
1.获取redis镜像docker pull redis:latest(冒号后面是版本号)不加版本号默认获取最新版本,也可以使用docker search redis查看镜像来源如图:2.然后启动容器,做映射 ①创建配置文件目录存放redis.conf,文件从官网下载。 ②创建文件夹,新建配置文件贴入从官网下载的配置文件并修改mkdir /usr/local/dockervi/usr/local/docker/redis.conf③修改启动默认配...原创 2020-11-18 10:24:50 · 1176 阅读 · 0 评论 -
Centos安装docker
条件CentOS仅在发行版本的内核支持Docker。要求系统为64位、系统内核版本为3.10以上。使用yum安装Docker分为Docker CE和Docker EE两种版本。Docker CE即社区免费版,Docker EE即企业版,强调安全,但需付费使用。安装Docker CE删除已有Dockersudo yum remove docker \ docker-client \ docker-client-latest \原创 2020-11-04 09:40:22 · 160 阅读 · 0 评论