Docker 安全加固指南

张

张建站

2026/5/26 11:37:50

10分钟阅读

# Docker 安全加固指南容器不是保险箱不加固照样被黑。## 1. 使用非root用户dockerfileRUN addgroup -S appgroup adduser -S appuser -G appgroupUSER appuserbashdocker run -d -u 1000:1000 myapp容器内root如果逃逸就是宿主机root最危险的安全问题。## 2. 只读文件系统bashdocker run -d --read-only myapp# 需要写临时文件docker run -d --read-only --tmpfs /tmp myappdocker run -d --read-only --tmpfs /run myapp## 3. 删掉不必要的权限bash# 丢弃所有Linux能力只加需要的docker run -d \--cap-drop ALL \--cap-add NET_BIND_SERVICE \myapp默认Docker给容器一堆能力大部分用不到。常用能力- NET_BIND_SERVICE绑定1024以下端口- CHOWN改文件属主- SETUID/SETGID切换用户- SYS_PTRACE调试开发用## 4. 禁止特权模式bash# ❌ 千万别这么干docker run --privileged myapp# ✅ 按需添加能力docker run --cap-drop ALL --cap-add NET_BIND_SERVICE myappprivileged等于把宿主机所有设备都给了容器。## 5. 资源限制bashdocker run -d \-m 512m \--memory-swap512m \--cpus1.0 \--pids-limit 100 \myapp防止一个容器吃光资源影响其他容器。## 6. 网络隔离yamlservices:frontend:networks:- publicbackend:networks:- public- privatedb:networks:- privatenetworks:public:private:internal: true # 不能访问外网数据库不暴露到公共网络。## 7. 镜像安全扫描bash# docker scoutDocker官方docker scout cves myapp:1.0docker scout recommendations myapp:1.0# Trivy开源trivy image myapp:1.0# 在CI里扫描trivy image --exit-code 1 --severity CRITICAL myapp:1.0## 8. 镜像签名bash# Docker Content Trustexport DOCKER_CONTENT_TRUST1docker push myapp:1.0 # 自动签名docker pull myapp:1.0 # 验证签名## 9. 用户命名空间json// /etc/docker/daemon.json{userns-remap: default}容器内root映射到宿主机一个普通用户即使逃逸也没root权限。## 10. 安全相关Dockerfile实践dockerfile# 固定版本FROM node:18.19.0-alpine3.19# 不装多余包RUN apk add --no-cache curl# 不存敏感信息# ❌ ENV DB_PASSWORDxxx# ✅ 运行时通过Secret或环境变量注入# COPY时指定ownerCOPY --chownappuser:appgroup . /app# 健康检查HEALTHCHECK CMD curl -f http://localhost:3000/health || exit 1## 11. 审计日志json// /etc/docker/daemon.json{log-driver: local,log-opts: {max-size: 10m,max-file: 5}}保留日志用于审计追溯。## 12. 宿主机安全bash# 关掉不必要的Docker API# 不要把Docker socket暴露给容器# ❌ docker run -v /var/run/docker.sock:/var/run/docker.sock ...# 限制Docker API访问# /etc/docker/daemon.json{hosts: [unix:///var/run/docker.sock] # 只监听本地socket}## 安全检查清单- [ ] 容器不以root运行- [ ] 只读文件系统或最小写入- [ ] 丢弃不必要的Linux能力- [ ] 设置资源限制- [ ] 网络隔离数据库不暴露- [ ] 镜像定期扫描漏洞- [ ] 不挂载Docker socket- [ ] 镜像固定版本号- [ ] 敏感信息用Secret不用环境变量- [ ] 启用日志审计---Docker安全没有银弹就是一层一层加防护。最关键的两条别用root、别用privileged。

从零到一：在eNSP中实战华为防火墙NAT策略部署

1. 环境准备与基础配置第一次接触华为防火墙NAT配置时，我对着eNSP界面发呆了半小时。后来发现，先搭好实验环境比直接敲命令重要十倍。这里我用的是eNSP V100R003C00版本，搭配USG6000V防火墙镜像。建议在虚拟机里跑，实测物理机容易…...

2026/5/26 11:37:43 阅读更多 →

如何将这些技能和工作流应用到实际的煎饼果仔和夏天妹妹的变现中？

结合前面的5 大核心技能、4 套标准工作流、提示词与配置模板，落地拆解为落地分工、场景匹配、执行步骤、收益落地、风险管控、迭代优化六大板块，完全贴合煎饼果仔 & 夏天妹妹现有账号现状，区分短期落地（立刻能用）、中期放量（1–2 个月）、长期资产化（3 个月 +），每…...

2026/5/26 11:37:33 阅读更多 →

人工免疫系统（AIS）：面向异常检测与自适应优化的可解释AI范式

1. 什么是人工免疫系统：从生物直觉到计算范式你有没有想过，为什么我们每天接触成千上万种微生物，却很少得病？不是因为病原体不存在，而是因为人体内有一套运行了数亿年的、高度自适应的防御系统——免疫系统。它不靠预设…...

2026/5/26 11:37:32 阅读更多 →

PS5 NOR修改器终极指南：简单三步修复你的游戏主机

PS5 NOR修改器终极指南：简单三步修复你的游戏主机【免费下载链接】PS5NorModifier The PS5 Nor Modifier is an easy to use Windows based application to rewrite your PS5 NOR file. This can be useful if your NOR is corrupt, or if you have a disc edition…...

2026/5/25 2:11:12 阅读更多 →

毕业论文，如何合规使用AI

2022年11月出现了大语言模型ChatGPT，今年是第一批使用大模型大学生毕业的第一年，如何安全、高效地使用AIGC正在成为不少人关心的重要事情。大学生或研究生毕业论文使用AIGC的核心原则是：把它当成你的“科研实习生”，而不是“代笔枪…...

2026/5/24 0:21:38 阅读更多 →

3步彻底解决RDP Wrapper [not supported]问题：实战修复指南

3步彻底解决RDP Wrapper [not supported]问题：实战修复指南【免费下载链接】rdpwrap RDP Wrapper Library 项目地址: https://gitcode.com/gh_mirrors/rd/rdpwrap RDP Wrapper是一款让Windows家庭版支持多用户远程桌面的开源工具，但许多用户在系…...

2026/5/24 0:32:45 阅读更多 →