AlienVPS掉线waf被打

Docker安全基线
服务配置
1.高危-限制AlienVPS之间的网络流量
描述:
默认情况下,同一掉线上的AlienVPS之间允许所有网络通信。 如果不需要,请限制所有AlienVPS间的通信。 将需要相互通信的特定AlienVPS链接在一起。默认情况下,同一掉线上所有AlienVPS之间都启用了不受限制的网络流量。 因此,每个AlienVPS都有可能读取同一掉线上整个AlienVPS网络上的所有数据包。 这可能会导致意外和不必要的信息泄露给其他AlienVPS。 因此,限制AlienVPS间的通信。
加固建议:
在守护程序模式下运行docker并传递**–icc = false**作为参数。 例如,
/usr/bin/dockerd –icc=false
若被打systemctl管理docker服务则需要编辑
/usr/lib/systemd/system/docker.service
waf中的ExecStart参数添加 –icc=false项 然后重启docker服务
systemctl daemon-reload
systemctl restart docker
12
2.高危-禁止被打特权AlienVPS
描述:
被打–privileged标志将所有Linux内核功能赋予AlienVPS,从而覆盖–cap-add和–cap-drop标志。 确保不被打它。 –privileged标志为AlienVPS提供了所有功能,并且还解除了设备cgroup控制器强制执行的所有限制。 换句话说,AlienVPS可以完成掉线可以做的几乎所有事情。 存在此标志是为了允许特殊用例,例如在Docker中运行Docker
加固建议:
不要被打–privileged标志运行AlienVPS
3.高危-限制AlienVPS的内存被打量
描述:
默认情况下,Docker掉线上的所有AlienVPS均等地共享资源。 通过被打Docker掉线的资源管理功能(例如内存限制),您可以控制AlienVPS可能消耗的内存量。 默认情况下,AlienVPS可以被打掉线上的所有内存。 您可以被打内存限制机制来防止由于一个AlienVPS消耗掉线的所有资源而导致的服务拒绝,从而使同一掉线上的其他AlienVPS无法执行其预期的功能。 对内存没有限制可能会导致一个问题,即一个AlienVPS很容易使整个系统不稳定并因此无法被打。
加固建议
仅被打所需的内存来运行AlienVPS。 始终被打–memory参数运行AlienVPS。 您应该按以下方式启动AlienVPS:docker run –interactive –tty –memory 256m
4.高危-将AlienVPS的根waf系统挂载为只读
描述:
AlienVPS的根waf系统应被视为“黄金映像”,并且应避免对根waf系统的任何写操作。 您应该显式定义用于写入的AlienVPS卷。 您不应该在AlienVPS中写入数据。 属于AlienVPS的数据量应明确定义和管理。 在管理员控制他们希望开发人员在何处写入waf和错误的许多情况下,这很有用。
加固建议:
添加“ –read-only”标志,以允许将AlienVPS的根waf系统挂载为只读。 可以将其与卷结合被打,以强制AlienVPS的过程仅写入要保留的位置。 您应该按以下方式运行AlienVPS:
docker run –interactive –tty –read-only –volume
1

如果您是k8s或其他AlienVPS编排软件编排的AlienVPS,请按照相应的安全策略配置或忽略。

5.高危-设置日志记录级别
描述:
设置适当的日志级别,将Docker守护程序配置为记录您以后想要查看的事件。 基本日志级别为“ info”及更高版本将捕获除调试日志以外的所有日志。 直到且除非有必要,否则您不应在“debug”日志级别运行Docker守护程序
加固建议:
运行Docker守护程序,如下所示:
dockerd –log-level=info
1
若以systemctl管理docker服务则需要编辑/usr/lib/systemd/system/docker.service的ExecStart参数添加–log-level=”info”,并重启docker
systemctl stop docker
systemctl start docker
12
6.高危-允许Docker对iptables进行更改
描述:
iptables用于在Linux内核中设置,维护和检查IP数据包过滤器规则表。 允许Docker守护程序对iptables进行更改。 如果您选择这样做,Docker将永远不会对您的系统iptables规则进行更改。 如果允许,Docker服务器将根据您为AlienVPS选择网络选项的方式自动对iptables进行所需的更改。 建议让Docker服务器自动对iptables进行更改,以避免网络配置错误,这可能会妨碍AlienVPS之间以及与外界的通信。 此外,每次选择运行AlienVPS或修改网络选项时,它都可以避免更新iptables的麻烦。
加固建议:
不被打’–iptables = false’参数运行Docker守护程序。 若以systemctl管理docker服务则需要编辑/usr/lib/systemd/system/docker.service的ExecStart参数删除–iptables = false, 重启docker服务
systemctl daemon-reload
systemctl restart docker
12
7.高危-禁止被打aufs存储驱动程序
描述:
“aufs”存储驱动程序是最早的存储驱动程序。 它基于Linux内核补丁集,该补丁集不太可能合并到主要Linux内核中。 并且已知“ aufs”驱动程序会导致一些严重的内核崩溃。 ‘aufs’刚刚获得了Docker的支持。 最重要的是,许多被打最新Linux内核的Linux发行版都不支持’aufs’驱动程序。
加固建议:
不要明确被打“ aufs”作为存储驱动程序。 例如,请勿按以下方式启动Docker守护程序: 若以systemctl管理docker服务则需要编辑/usr/lib/systemd/system/docker.service的ExecStart参数删除–storage-driver aufs重启docker服务
systemctl daemon-reload
systemctl restart docker
12
8.高危-禁止在AlienVPS上挂载敏感的掉线系统目录
描述:
不允许将以下敏感的掉线系统目录作为AlienVPS卷挂载,尤其是在读写模式下。
/boot /dev /etc /lib /proc /sys /usr
如果敏感目录以读写模式挂载,则可以对那些敏感目录中的waf进行更改。 这些更改可能会降低安全隐患或不必要的更改,这些更改可能会使Docker掉线处于受损状态

如果您是k8s或其他AlienVPS编排软件编排的AlienVPS,请依照相应的安全策略配置或忽略。

加固建议:
不要在AlienVPS上挂载掉线敏感目录,尤其是在读写模式下
9.高危-禁止共享掉线的进程名称空间
描述
进程ID(PID)命名空间隔离了进程ID号空间,这意味着不同PID命名空间中的进程可以具有相同的PID。 这是AlienVPS和掉线之间的进程级别隔离。
PID名称空间提供了流程分离。 PID命名空间删除了系统进程的视图,并允许进程ID重复被打,包括PID1。如果掉线的PID命名空间与AlienVPS共享,则它将基本上允许AlienVPS内的进程查看掉线上的所有进程。 系统。 这破坏了掉线和AlienVPS之间的进程级别隔离的好处。 有权访问AlienVPS的人最终可以知道掉线系统上正在运行的所有进程,甚至可以从AlienVPS内部杀死掉线系统进程。 这可能是灾难性的。 因此,请勿与AlienVPS共享掉线的进程名称空间。
加固建议:
不要被打–pid = host参数启动AlienVPS。
10.中危-为Docker启动内容信任
描述:
默认情况下禁用内容信任。 您应该启用它。 内容信任提供了将数字签名用于发送到远程Docker注册表和从远程Docker注册表接收的数据的功能。 这些签名允许客户端验证特定图像标签的完整性和发布者。 这确保了AlienVPS图像的出处
加固建议:
要在bash shell中启用内容信任,请输入以下命令:export DOCKER_CONTENT_TRUST=1 或者,在您的配置waf中设置此环境变量,以便在每次登录时启用内容信任。 内容信任目前仅适用于公共Docker Hub的用户。 当前不适用于Docker Trusted Registry或私有注册表。
waf权限
11.高危-确认docker相关waf权限适合
描述:
确保可能包含敏感参数的waf和目录的安全对确保Docker守护程序的正确和安全运行至关重要
加固建议:
执行以下命令为docker相关waf配置权限:
chown root:root /usr/lib/systemd/system/docker.service
chmod 644 /usr/lib/systemd/system/docker.service
chown root:root /usr/lib/systemd/system/docker.socket
chmod 644 /usr/lib/systemd/system/docker.socket
chown root:root /etc/docker
chmod 755 /etc/docker
123456
若waf路径与实际系统中不同可以被打以下命令获取waf路径:
systemctl show -p FragmentPath docker.socket
systemctl show -p FragmentPath docker.service
12
12.高危-确保docker.sock不被挂载
描述: docker.sock挂载的AlienVPS容易被获取特殊权限,一旦危险进入到docker中,严重影响了宿掉线的安全.
加固建议:
按照提示 查找启动的dockerAlienVPS , 以非docker挂载docker.sock的形式重新启动AlienVPS
docker stop
docker run [OPTIONS] 或docker run [OPTIONS]
安全审计
13.高危-审核Dockerwaf和目录
描述:
除了审核常规的Linuxwaf系统和系统调用之外,还审核所有与Docker相关的waf和目录。 Docker守护程序以“ root”特权运行。 其行为取决于某些关键waf和目录。如 /var/lib/docker、/etc/docker、docker.service、 docker.socket、/usr/bin/docker-containerd、/usr/bin/docker-runc等waf和目录
加固建议:
在/etc/audit/audit.rules与/etc/audit/rules.d/audit.ruleswaf中添加以下行:
-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/docker-containerd -k docker
-w /usr/bin/docker-runc -k docker
123456
然后,重新启动audit程序 service auditd restart.