Docker 已成为现代应用部署的标准方案,但生产环境中容器安全是不可忽视的环节。本文将系统介绍 Docker 运行环境的配置优化与安全加固方法,涵盖从安装到运行的全链路最佳实践。
1. Docker 引擎安装
1.1 官方仓库安装(推荐)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
|
sudo apt-get remove docker docker-engine docker.io containerd runc
sudo apt-get update
sudo apt-get install -y ca-certificates curl gnupg lsb-release
sudo mkdir -p /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | \
sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg
echo \
"deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] \
https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable" | \
sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
sudo apt-get update
sudo apt-get install -y docker-ce docker-ce-cli containerd.io docker-compose-plugin
sudo docker run hello-world
|
1.2 安装后配置
1
2
3
4
5
6
7
|
sudo usermod -aG docker $USER
sudo systemctl enable docker
sudo systemctl start docker
|
2. Docker Daemon 安全配置
Docker daemon 的核心配置文件位于 /etc/docker/daemon.json,生产环境应进行以下加固配置:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
| {
"icc": false,
"log-driver": "json-file",
"log-opts": {
"max-size": "10m",
"max-file": "3"
},
"iptables": true,
"live-restore": true,
"userland-proxy": false,
"no-new-privileges": true,
"userns-remap": "default",
"default-ulimit": {
"nofile": {
"name": "nofile",
"hard": 65536,
"soft": 65536
}
},
"experimental": false
}
|
2.1 关键配置项说明
| 配置项 | 默认值 | 推荐值 | 说明 |
|---|
icc | true | false | 关闭容器间默认通信,强制通过自定义网络 |
live-restore | false | true | daemon 重启时保持容器运行 |
userland-proxy | true | false | 禁用用户态代理,减少攻击面 |
no-new-privileges | false | true | 禁止容器进程获取新权限 |
userns-remap | "" | "default" | 启用用户命名空间隔离 |
iptables | true | true | 启用 iptables 规则管理 |
log-opts | 不限 | max-size=10m | 限制日志文件大小和数量 |
2.2 应用配置并重启
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
|
sudo mkdir -p /etc/docker
sudo tee /etc/docker/daemon.json << 'EOF'
{
"icc": false,
"log-driver": "json-file",
"log-opts": {
"max-size": "10m",
"max-file": "3"
},
"iptables": true,
"live-restore": true,
"userland-proxy": false,
"no-new-privileges": true,
"userns-remap": "default",
"default-ulimit": {
"nofile": { "name": "nofile", "hard": 65536, "soft": 65536 }
},
"experimental": false
}
EOF
sudo systemctl daemon-reload
sudo systemctl restart docker
sudo docker info | grep -E "Userns|Security|Live Restore"
|
3. 用户命名空间隔离(userns-remap)
用户命名空间是 Docker 最关键的安全特性之一。启用后,容器内的 root 用户将被映射为宿主机上的非特权用户(默认 subuid 范围从 100000 开始),即使容器被攻破也无法获得宿主机的 root 权限。
3.1 检查 subuid/subgid 配置
1
2
3
4
5
6
7
8
|
cat /etc/subuid
cat /etc/subgid
sudo usermod --add-subuids 100000-165535 --add-subgids 100000-165535 dockremap
|
3.2 验证隔离效果
1
2
3
4
5
6
7
|
docker run --rm -it alpine sh -c "id && cat /proc/self/uid_map"
|
3.3 需注意的事项
- 启用
userns-remap 后,默认的绑定挂载卷会重新映射权限,需使用 --userns=host 临时跳过(不推荐生产使用)
- 宿主机上通过
ls -n 可查看实际 UID,而非容器内的用户
- 部分需要访问宿主机设备或系统调用的容器(如特权模式)无法使用此功能
4. Docker 网络安全
4.1 网络模式选择
| 模式 | 安全性 | 适用场景 |
|---|
| bridge(默认) | 中 | 单机多容器通信 |
| 自定义 bridge | 高 | 推荐的生产环境网络方案 |
| host | 低 | 性能敏感型应用(不推荐生产) |
| none | 最高 | 完全隔离的后台任务容器 |
| macvlan/ipvlan | 中 | 容器需要独立 MAC/IP 地址 |
| overlay | 高 | Swarm 多节点集群 |
4.2 创建自定义网络
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
|
docker network create \
--driver bridge \
--subnet=172.20.0.0/16 \
--gateway=172.20.0.1 \
--opt com.docker.network.bridge.name=docker_frontend \
--opt com.docker.network.bridge.enable_icc=true \
frontend
docker network create \
--driver bridge \
--subnet=172.21.0.0/16 \
--gateway=172.21.0.1 \
--internal \
--opt com.docker.network.bridge.name=docker_backend \
backend
docker run -d --name nginx \
--network frontend \
--ip 172.20.0.10 \
nginx:stable-alpine
docker run -d --name php-app \
--network backend \
--network frontend \
--ip 172.21.0.10 \
php:fpm-alpine
|
4.3 Docker 防火墙规则
Docker 会自动管理 iptables 规则,但建议配合 UFW 使用:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
|
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 22/tcp
sudo iptables -I DOCKER-USER -i eth0 -p tcp --dport 2375 -j DROP
sudo iptables -I DOCKER-USER -i eth0 -p tcp --dport 2376 -j DROP
sudo iptables -I DOCKER-USER -i eth0 ! -s 192.168.1.0/24 -p tcp --dport 8080 -j DROP
sudo apt-get install -y iptables-persistent
sudo netfilter-persistent save
|
5. 容器运行时安全
5.1 最小权限原则
运行容器时应始终遵循最小权限原则,避免使用 --privileged 和默认的 root 用户。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
docker run --privileged -d nginx
docker run \
--read-only \
--tmpfs /tmp:rw,noexec,nosuid,size=64m \
--tmpfs /var/run:rw,noexec,nosuid,size=64m \
--cap-drop ALL \
--cap-add NET_BIND_SERVICE \
--cap-add CHOWN \
--cap-add SETGID \
--cap-add SETUID \
--security-opt=no-new-privileges:true \
-d nginx:stable-alpine
|
5.2 Linux Capabilities 管理
| 应用类型 | 保留的 Capabilities | 说明 |
|---|
| Nginx | NET_BIND_SERVICE, CHOWN, SETGID, SETUID | 绑定低端口、更改文件所有者 |
| PostgreSQL | CHOWN, DAC_OVERRIDE, SETGID, SETUID | 数据目录权限管理 |
| Redis | CHOWN, SETGID, SETUID, SYS_NICE | 文件权限和进程优先级 |
| Java 应用 | CHOWN, DAC_OVERRIDE, SETGID, SETUID, NET_BIND_SERVICE | 文件管理和端口绑定 |
| 通用 Web 应用 | NET_BIND_SERVICE, CHOWN, SETGID, SETUID | 最精简权限集 |
5.3 使用非 root 用户运行
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
|
FROM node:20-alpine AS builder
RUN addgroup -S appgroup && adduser -S appuser -G appgroup
WORKDIR /app
COPY --chown=appuser:appgroup package*.json ./
RUN npm ci --only=production
COPY --chown=appuser:appgroup . .
USER appuser
EXPOSE 3000
CMD ["node", "server.js"]
|
5.4 只读根文件系统
1
2
3
4
5
6
7
|
docker run \
--read-only \
--tmpfs /tmp:rw,noexec,nosuid,size=128m \
--tmpfs /var/cache/nginx:rw,noexec,nosuid,size=64m \
--tmpfs /var/run:rw,noexec,nosuid,size=64m \
-d nginx:stable-alpine
|
6. 镜像安全管理
6.1 使用可信基础镜像
1
2
3
4
5
6
7
8
|
docker pull node:20-alpine
docker pull python:3.12-slim
docker pull gcr.io/distroless/base-debian12
docker trust inspect --pretty node:20-alpine
|
6.2 镜像安全扫描
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
|
sudo apt-get install -y wget apt-transport-https gnupg
wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | \
sudo gpg --dearmor -o /etc/apt/keyrings/trivy.gpg
echo "deb [signed-by=/etc/apt/keyrings/trivy.gpg] https://aquasecurity.github.io/trivy-repo/deb generic main" | \
sudo tee /etc/apt/sources.list.d/trivy.list
sudo apt-get update && sudo apt-get install -y trivy
trivy image nginx:stable-alpine
trivy image --severity CRITICAL,HIGH nginx:stable-alpine
trivy config --severity CRITICAL,HIGH ./Dockerfile
docker images --format "{{.Repository}}:{{.Tag}}" | \
while read image; do
trivy image --severity CRITICAL,HIGH --exit-code 1 "$image" || \
echo "WARNING: $image has critical vulnerabilities"
done
|
6.3 Dockerfile 安全最佳实践
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
|
FROM node:20-alpine AS builder
WORKDIR /build
COPY package*.json ./
RUN npm ci
COPY . .
RUN npm run build
FROM node:20-alpine
RUN addgroup -S appgroup && adduser -S appuser -G appgroup
WORKDIR /app
COPY --from=builder /build/dist ./dist
COPY --from=builder /build/node_modules ./node_modules
COPY --from=builder /build/package.json ./
USER appuser
EXPOSE 3000
HEALTHCHECK --interval=30s --timeout=3s --start-period=5s --retries=3 \
CMD wget --no-verbose --tries=1 --spider http://localhost:3000/health || exit 1
CMD ["node", "dist/server.js"]
|
7. 资源限制与监控
7.1 容器资源限制
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
|
docker run -d \
--name app \
--memory="512m" \
--memory-reservation="256m" \
--memory-swap="1g" \
--cpus="1.5" \
--cpuset-cpus="0-1" \
--pids-limit=100 \
--restart=unless-stopped \
nginx:stable-alpine
docker run -d \
--device-read-bps /dev/sda:50mb \
--device-write-bps /dev/sda:30mb \
--device-read-iops /dev/sda:1000 \
--device-write-iops /dev/sda:500 \
--name db \
postgres:17-alpine
|
7.2 资源限制参考表
| 应用类型 | CPU 限制 | 内存限制 | PID 限制 | 重启策略 |
|---|
| Web 反向代理 | 0.5-1 | 128-256m | 50 | unless-stopped |
| API 服务 | 1-2 | 256-512m | 100 | unless-stopped |
| 数据库 | 2-4 | 1-4g | 200 | unless-stopped |
| 缓存服务 | 1-2 | 256-512m | 100 | unless-stopped |
| 消息队列 | 1-2 | 512-1g | 100 | unless-stopped |
| 定时任务 | 0.5-1 | 128-256m | 50 | on-failure:5 |
7.3 实时监控
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
docker stats --no-stream
docker stats --format "table {{.Name}}\t{{.CPUPerc}}\t{{.MemUsage}}\t{{.NetIO}}\t{{.BlockIO}}"
docker logs --tail 100 --timestamps <container>
docker top <container>
docker diff <container>
|
8. Docker 审计日志与事件监控
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
|
docker events --filter 'type=container' --filter 'event=start|stop|kill|die' \
--format '{{json .}}'
docker events --since '24h' > /var/log/docker-events.log &
sudo tee /etc/rsyslog.d/30-docker.conf << 'EOF'
if $programname == "dockerd" then /var/log/docker-daemon.log
& stop
EOF
sudo systemctl restart rsyslog
sudo tee /etc/audit/rules.d/docker.rules << 'EOF'
-w /usr/bin/docker -p wa -k docker
-w /var/lib/docker -p wa -k docker
-w /etc/docker -p wa -k docker
-w /etc/default/docker -p wa -k docker
EOF
sudo systemctl restart auditd
|
9. 数据卷安全
9.1 卷挂载安全配置
1
2
3
4
5
6
7
8
9
10
11
12
13
|
docker volume create app-data
docker run -d \
-v /host/config:/app/config:ro \
-v app-data:/app/data \
nginx:stable-alpine
docker run -d \
--mount type=bind,source=/host/data,target=/data,readonly,bind-propagation=slave \
nginx:stable-alpine
|
9.2 数据加密与备份
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
|
sudo cryptsetup luksFormat /dev/sdb1
sudo cryptsetup open /dev/sdb1 docker-data
sudo mkfs.ext4 /dev/mapper/docker-data
sudo mount /dev/mapper/docker-data /var/lib/docker
cat << 'BACKUP_SCRIPT' > /usr/local/bin/backup-docker-volumes.sh
BACKUP_DIR="/backup/docker-volumes"
TIMESTAMP=$(date +%Y%m%d_%H%M%S)
mkdir -p "$BACKUP_DIR"
docker volume ls -q | while read volume; do
docker run --rm \
-v $volume:/data \
-v $BACKUP_DIR:/backup \
alpine tar czf /backup/${volume}_${TIMESTAMP}.tar.gz -C /data .
done
find "$BACKUP_DIR" -name "*.tar.gz" -mtime +30 -delete
BACKUP_SCRIPT
chmod +x /usr/local/bin/backup-docker-volumes.sh
|
10. Docker API 安全
禁止将 Docker API 暴露在公开网络中。必须暴露时需启用 TLS 认证:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
|
cd /etc/docker
openssl genrsa -aes256 -out ca-key.pem 4096
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
openssl genrsa -out server-key.pem 4096
openssl req -subj "/CN=$(hostname)" -sha256 -new -key server-key.pem \
-out server.csr
echo "subjectAltName = DNS:$(hostname),IP:$(hostname -I | awk '{print $1}')" > extfile.cnf
openssl x509 -req -days 365 -sha256 -in server.csr \
-CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem \
-extfile extfile.cnf
sudo tee /etc/docker/daemon.json << 'EOF'
{
"tls": true,
"tlsverify": true,
"tlscacert": "/etc/docker/ca.pem",
"tlscert": "/etc/docker/server-cert.pem",
"tlskey": "/etc/docker/server-key.pem",
"hosts": ["tcp://0.0.0.0:2376", "unix:///var/run/docker.sock"]
}
EOF
sudo systemctl restart docker
docker --tlsverify \
--tlscacert=ca.pem \
--tlscert=cert.pem \
--tlskey=key.pem \
-H=$HOST:2376 version
|
11. Docker 安全加固速查表
| 安全领域 | 最佳实践 | 优先级 |
|---|
| Docker Daemon | 启用 userns-remap、live-restore、no-new-privileges | 高 |
| 容器运行时 | 禁止 --privileged,使用 --cap-drop ALL + --cap-add 白名单 | 高 |
| 非 root 用户 | Dockerfile 中 USER 指令创建非 root 用户 | 高 |
| 只读文件系统 | 使用 --read-only 配合 --tmpfs 挂载可写目录 | 高 |
| 镜像安全 | 使用 Alpine/Distroless 基础镜像,Trivy 定期扫描 | 高 |
| 网络安全 | 自定义 bridge 网络 + --internal 内网隔离 | 高 |
| 资源限制 | 设置 memory/cpus/pids-limit 硬限制 | 中 |
| 日志管理 | 限制日志大小和数量,避免磁盘占满 | 中 |
| API 安全 | 禁用 TCP 2375,TLS 加密 2376 | 高 |
| 数据卷 | 只读挂载,定期备份,使用命名卷 | 中 |
| 审计日志 | 配置 Docker 审计规则和事件监控 | 中 |
| Docker Socket | 禁止将 /var/run/docker.sock 挂载到容器内 | 高 |
12. 常见问题排查
| 问题 | 原因 | 解决 |
|---|
| 容器启动后立即退出 | 前台进程未保持 | 检查 CMD 是否前台运行,使用 -it 测试 |
| 端口映射无效 | iptables 规则被覆盖 | 检查 UFW 和 Docker-USER 链配置 |
| userns-remap 后卷权限问题 | UID 映射导致权限不匹配 | 使用 docker run --userns=host 或 chown 映射 UID |
| 容器磁盘占满 | 日志或数据卷未限制 | 配置 log-opt,定期 docker system prune |
| Docker 无法启动 | daemon.json 语法错误 | dockerd --validate --config-file /etc/docker/daemon.json |
| 容器网络不通 | icc 设为 false | 将容器加入同一自定义网络 |
| Docker Socket 暴露风险 | 将 docker.sock 挂载到容器 | 尽量避免,改用 Docker API over TLS |
| 容器内时间不准确 | 时区未设置 | 添加 -e TZ=Asia/Shanghai 环境变量 |
13. 一键安全配置脚本
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
| #!/bin/bash
set -euo pipefail
echo "=== Docker 安全配置脚本 ==="
echo "[1/6] 配置 Docker daemon..."
sudo mkdir -p /etc/docker
sudo tee /etc/docker/daemon.json << 'DAEMON'
{
"icc": false,
"log-driver": "json-file",
"log-opts": {
"max-size": "10m",
"max-file": "3"
},
"iptables": true,
"live-restore": true,
"userland-proxy": false,
"no-new-privileges": true,
"userns-remap": "default",
"experimental": false
}
DAEMON
echo "[2/6] 配置用户命名空间..."
if ! getent passwd dockremap > /dev/null; then
sudo useradd --system --no-create-home --shell /sbin/nologin dockremap
fi
if ! grep -q "^dockremap:" /etc/subuid; then
sudo usermod --add-subuids 100000-165535 dockremap
sudo usermod --add-subgids 100000-165535 dockremap
fi
echo "[3/6] 重启 Docker 服务..."
sudo systemctl daemon-reload
sudo systemctl restart docker
echo "[4/6] 配置 Docker 审计规则..."
sudo tee /etc/audit/rules.d/docker.rules << 'AUDIT'
-w /usr/bin/docker -p wa -k docker
-w /var/lib/docker -p wa -k docker
-w /etc/docker -p wa -k docker
AUDIT
if systemctl is-active --quiet auditd; then
sudo systemctl restart auditd
fi
echo "[5/6] 限制 Docker Socket 权限..."
sudo chmod 660 /var/run/docker.sock
echo "[6/6] 配置 docker 组..."
sudo groupadd -f docker
echo "提示:将用户加入 docker 组:sudo usermod -aG docker \$USER"
echo ""
echo "=== 配置验证 ==="
docker info | grep -E "Userns|Security|Logging|Live Restore" || true
echo ""
echo "配置完成!建议重新登录使 docker 组生效。"
|
总结
Docker 容器安全不是单一配置就能实现的,而是需要从 daemon 配置、网络隔离、权限管理、镜像扫描、资源限制、日志审计等多个维度构建纵深防御体系。本文覆盖了生产环境 Docker 安全加固的核心实践,实际部署时应根据业务场景和应用特点选择合适的配置组合。记住一条黄金法则:永远默认最小权限,按需开放。
本文由AI辅助生成,内容仅供参考
