容器安全之禁用旧仓库版本（v1）上的操作

描述

最新的Docker镜像仓库是v2。遗留镜像仓库版本v1上的所有操作都应受到限制

隐患分析

Docker镜像仓库v2在v1中引入了许多性能和安全性改进。
它支持容器镜像来源验证和其他安全功能。因此，对Docker v1仓库的操作应该受到限制

审计方式

$ ps -ef|grep dockerd

上面的命令应该列出--disable-legacy-registry作为传递给Docker守护进程的选项。

修复建议

注意：17.12+版本已移除，无需配置

编辑配置文件

$ vi /etc/systemd/system/docker.service

ExecStart=/usr/bin/dockerd添加参数--userns-remap=default

重载服务

$ systemctl daemon-reload
$ systemctl restart docker

参考文档

• Docker容器最佳安全实践白皮书（V1.0）
• Docker官方文档