審核Docker文件和目錄安全審計

描述

除了審核常規(guī)的Linux文件系統(tǒng)和系統(tǒng)調(diào)用之外,還審核所有與Docker相關(guān)的文件和目錄。 Docker守護程序以“ root”特權(quán)運行。 其行為取決于某些關(guān)鍵文件和目錄。如 /var/lib/docker/etc/dockerdocker.servicedocker.socket/usr/bin/containerd/usr/bin/runc等文件和目錄

加固建議

找到/etc/audit/audit.rules與/etc/audit/rules.d/audit.rules文件(若沒有則先確認是否已安裝auditd服務(wù)), 在文件中添加以下行: 注:/usr/lib/systemd/system/docker.socket 文件不存在,可不加入審計

-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/containerd -k docker
-w /usr/bin/runc -k docker

然后,重新啟動audit程序。 例如

service auditd restart
如果無法重啟audit服務(wù),可通過 auditctl -R [audit.rules文件] 進行手動加載,驗證方式auditctl -l

操作時建議做好記錄或備份

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

推薦閱讀更多精彩內(nèi)容