chunqizhi

在当前镜像的基础上安装 libltdl7 即可解决问题RUN apt-get update && apt-get install -y libltdl7

1.什么是 Harbor ? Harbor 是一个 CNCF 基金会托管的开源的可信的云原生 docker registry 项目，可以用于存储、签名、扫描镜像内容， Harbor 通过添加一些常用的功能如安全性、身份权限管理等来扩展 docker registry 项目，此外还支持在 registry 之间复制镜像， 还提供更加高级的安全功能，如用户管理、访问控制和活动审...

描述默认情况下，限制容器通过 suid 或 sgid 位获取附加权限。安全出发点一个进程可以在内核设置 no_new_priv。它支持 fork，clone 和 execve。no_new_priv 确保进程或者其子进程不会通过 suid 或 sgid位获得任何其他特权。这样，很多危险的操作就降低安全风险。在守护进程级别进行设置可确保默认情况下，所有新容器不能获取新的权限。审计方法...

描述避免生产环境中使用实验性功能 Experimental。安全出发点docker 实验性功能现在是一个运行时 docker 守护进程标志，其作为运行时标志传递给 docker 守护进程，激活实验性功能。实验性功能现在虽然比较稳定，但是一些功能可能没有大规模使用，并不能保证 API 的稳定性，所以生产环境不建议使用。审计方法运行下面命令，并确保在 Server 部分将 Experi...

描述如果需要，你可以选择在守护进程级别自定义 seccomp 配置文件，并覆盖 Docker 的默认 seccomp 配置文件。安全出发点大量系统调用暴露于每个用户级进程，其中许多系统调用在整个生命周期中都未被使用。大多数应用程序不需要所有的系统调用，因此可以通过减少可用的系统调用来增加安全性。可自定义 seccomp 配置文件，而不是使用 Docker 的默认 seccomp 配置文件...

描述Docker 现在支持各种日志驱动程序。存储日志的最佳方式是支持集中式和远程日志记录。安全出发点集中式和远程日志确保所有重要的日志记录都是安全的，以满足容灾的要求。Docker 支持多种类型的日志驱动程序，可根据自身情况选取。审计方法可以运行 docker info 并确认日志记录驱动程序属性设置为适当的。如：docker info | grep ^Logging结果判定...

描述在某些情况下，可能需要大于 10G 的容器空间，需要仔细选择空间的大小。安全出发点守护进程重启时可以增加容器空间的大小。用户可以通过设置默认容器空间值来进行扩大，但不允许缩小。设立该值的时候需要谨慎，防止设置不当导致主机资源耗尽的情况。审计方法ps -ef | grep dockerd结果判定不应显示任何 --storage-opt dm.basesize 参数。修复...

描述查看 --cgroup-parent 选项允许设置用于所有容器的默认 cgroup parent。建议如果没有特定用例，则应该保留默认值。安全出发点系统管理员可定义容器运行的 cgroup。若系统管理员没有明确定义 cgroup，容器也会在 docker cgroup 下运行。应该监测和确认 cgroup 的使用情况。通过加到与默认不同的 cgroup，导致不合理地共享资源，从而可能...

描述在 Docker 守护进程中启用用户命名空间支持，可对用户进行重新映射。该建议对镜像中没有指定用户是有帮助的。如果在容器镜像中已经定义了非 ' root ' 运行，可以跳过此建议，因为该功能比较新，可能会带来不可预测的问题。安全出发点Docker 守护进程中对 Linux 内核用户命名空间支持为 Docker 主机系统提供了额外的安全性。它允许容器具有独特的用户和组 ID。这些用户...

描述需要根据环境设置默认的 ulimit 选项。安全出发点ulimit 提供对 shell 可用资源的控制。设置系统资源控制可以防止资源耗尽带来的问题，如 fork 炸弹。有时候合法的用户和进程也可能过度使用系统资源，导致系统资源耗尽。为 Docker 守护进程设置默认的 ulimit 将强制执行所有容器的 ulimit。不需要单独为每个容器设置 ulimit。但默认的 ulimit ...

描述可以让 Docker 守护进程监听特定的 IP 和端口以及除了默认的 Unix 套接字以外的任何其他 Unix 套接字。配置 TLS 身份验证以限制通过 IP 和端口访问 Docker 守护进程。安全出发点默认情况下，Docker 守护进程绑定到非联网的 Unix 套接字，并以 'root' 权限运行。如果将默认的 Docker 守护进程更改为绑定到 TCP端口或任何其他的 Uni...

描述不要使用 'aufs' 作为 Docker 实例的存储驱动。安全出发点'aufs' 存储驱动程序是较旧的存储驱动程序。它是基于 Linux 内核的补丁集，不太可能合并到主要的 Linux 内核中。'aufs' 在 Docker 中只是保留了历史遗留支持的，现在主要是使用 'overlay2' 和 'devicemapper' 。而且最重要的是，在许多的使用最新的 Linux 内核的...

描述Iptables 用于建立、维护和检查 Linux 内核中得 IP 包过滤规则表。建议允许 Docker 守护程序自动更改 Iptables 规则。安全出发点如果允许 Docker 守护进程更改 Iptables 的话，Docker 会根据用户为容器选择网络选项的方式自动对 Iptables 进行必要的更改。建议让 Docker 服务自动更改 Iptables，这样就可以避免可能妨...

描述默认情况下，默认网桥上同一主机上的容器之间允许所有网络通信。如果不需要，限制所有的容器间通信，将需要通信的特定容器链接在一起，或者创建自定义网络，并只加入需要与该自定义网络通信的容器。安全出发点默认情况下，默认网桥上同一主机上的所有容器之间启用不受限制的网络通信。因此，每个容器都有可能读取同一主机上容器网络上的所有包，这可能会导致意外和不必要的信息泄露给其他容器。因此，需要限制默认...

描述Docker 守护进程需要 'root' 权限。对于添加到 'docker' 组的用户被提供了拥有完整的 'root' 访问权限。安全出发点Docker 允许在 Docker 主机和访客容器之间共享目录，而不会限制容器的访问权限。这意味着可以启动容器并将主机上的 / 目录映射到容器。容器能够不受任何限制地更改主机文件系统。简而言之，这意味着只需作为 'docker' 组的成员即可获得较...

描述所有 Docker 容器及其数据和元数据都存储在 /var/lib/docker 目录下。默认情况下，/var/lib/docker 目录将根据可用性挂载在 / 或者 /var 分区下。安全出发点Docker 依赖于 /var/lib/docker 作为默认目录，其存储所有 Docker 相关文件，包括镜像文件等。该目录下可能会被恶意写满，导致 Docker、甚至主机可能无法使用。因此...

原文：点击打开链接前景：没事想玩下linux，想着以后可以部署下自己的web项目上去，然后我就想装个oracle来着。。。之前都不懂linux来着，只知道公司的项目都是部署在上面，然后从装系统到装完oracle用了近五天，因为中间还有其他工作要做。。。写这博客是因为我看了网上的介绍或多或少有点残缺。。。顺便方便自己记录题外话了，接着进入正题。准备材料：虚拟机virtualbox，centos7操作...