容器安全之容器中禁止运行SSH服务

描述

SSH服务不应该在容器内运行

隐患分析

在容器内运行SSH可以增加安全管理的复杂性
难以管理SSH服务器的访问策略和安全合规性
难以管理各种容器的密钥和密码
难以管理SSH服务器的安全升级
可以在不使用SSH情况下对容器进行shell访问，避免不必要地增加安全管理的复杂性。

审计方式

for i in `docker ps --quiet`;do
docker exec $i ps -el|grep sshd >/dev/null
if [ $? -eq 0 ]; then
    echo "container : $i run sshd..."
fi
done

返回值如下，说明下面几个容器内部运行ssh服务

container : 0781479bef1b run sshd...
container : fea9d4d5708a run sshd...
container : 38bb65479056 run sshd...
container : 212fec812c01 run sshd...

修复建议

卸载容器内部ssh服务或重新构建不含有ssh的镜像，运行容器

参考文档

• Docker容器最佳安全实践白皮书（V1.0）
• Docker官方文档