- 博客(5)
- 资源 (5)
- 收藏
- 关注
RSS订阅原创 Docker 守护进程配置之限制容器获取新的权限
描述默认情况下,限制容器通过 suid 或 sgid 位获取附加权限。安全出发点一个进程可以在内核设置 no_new_priv。它支持 fork,clone 和 execve。no_new_priv 确保进程或者其子进程不会通过 suid 或 sgid位获得任何其他特权。这样,很多危险的操作就降低安全风险。在守护进程级别进行设置可确保默认情况下,所有新容器不能获取新的权限。审计方法...
2019-12-17 19:31:16
1608
原创 Docker 守护进程配置之生产环境中避免实验性功能
描述避免生产环境中使用实验性功能 Experimental。安全出发点docker 实验性功能现在是一个运行时 docker 守护进程标志,其作为运行时标志传递给 docker 守护进程,激活实验性功能。实验性功能现在虽然比较稳定,但是一些功能可能没有大规模使用,并不能保证 API 的稳定性,所以生产环境不建议使用。审计方法运行下面命令,并确保在 Server 部分将 Experi...
2019-12-17 10:39:25
847
原创 Docker 守护进程配置之应用程序守护进程范围的自定义 seccomp 配置文件
描述如果需要,你可以选择在守护进程级别自定义 seccomp 配置文件,并覆盖 Docker 的默认 seccomp 配置文件。安全出发点大量系统调用暴露于每个用户级进程,其中许多系统调用在整个生命周期中都未被使用。大多数应用程序不需要所有的系统调用,因此可以通过减少可用的系统调用来增加安全性。可自定义 seccomp 配置文件,而不是使用 Docker 的默认 seccomp 配置文件...
2019-12-16 10:11:35
679
原创 Docker 守护进程配置之配置集中和远程日志记录
描述Docker 现在支持各种日志驱动程序。存储日志的最佳方式是支持集中式和远程日志记录。安全出发点集中式和远程日志确保所有重要的日志记录都是安全的,以满足容灾的要求。Docker 支持多种类型的日志驱动程序,可根据自身情况选取。审计方法可以运行 docker info 并确认日志记录驱动程序属性设置为适当的。如:docker info | grep ^Logging结果判定...
2019-12-03 19:29:59
380
原创 使用 protoc 编译 .proto 文件时使用的 -I 的参数是代表什么
首先,我们可以在终端运行以下命令protoc --help我们发现其实参数 -IPATH 就是代表 -I,所有这个参数就是代表:-I(-IPATH)指定要在其中搜索导入(import)的目录。可指定多次,目录将按顺序搜索。如果没有给出,则使用当前工作目录。如:protoc -I=$GOPATH/src --go_out=. hello.proto 说明如果 hello.proto 里...
2019-12-02 11:53:48
9233
基于JAVA语言开发失物招领系统的设计和实现
2018-07-12
基于go语言开发的2048游戏
2018-07-10
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人