容器安全

日更第31日: 容器安全之使用默认cgroup

2021-11-12  本文已影响0人  微凉哇

描述

查看--cgroup-parent选项允许设置用于所有容器的默认cgroup parent。 如果没有特定用例,则该设置应保留默认值。

隐患分析

系统管理员可定义容器应运行的cgroup。 若系统管理员没有明确定义cgroup,容器也会在docker cgroup下运行。
应该监测和确认使用情况。通过加到与默认不同的cgroup,导致不合理地共享资源,从而可能会主机资源耗尽

审计方式

$ ps -ef|grep dockerd

确保--cgroup-parent参数未设置或设置为适当的非默认cgroup

修复建议

如无特殊需求,默认值即可

参考文档

上一篇下一篇

猜你喜欢

热点阅读