隐患分析
docker.service文件包含可能会改变Docker守护进程行为的敏感参数。
因此,它应该由root拥有和归属,以保持文件的完整性。
审计方式
$ systemctl show -p FragmentPath docker.service|sed "s/FragmentPath=//"|xargs -n1 ls -l
返回值应为
-rw-r--r-- 1 root root 1157 Apr 26 08:04 /etc/systemd/system/docker.service
修复提议
若所属用户非root:root,修改授权
$ systemctl show -p FragmentPath docker.service|sed "s/FragmentPath=//"|xargs -n1 chown root:root
参考文档
- Docker容器最佳安全实践白皮书(V1.0)
- Docker官方文档
© 版权声明
文章版权归作者所有,未经允许请勿转载。如内容涉嫌侵权,请在本页底部进入<联系我们>进行举报投诉!
THE END
暂无评论内容