审核Docker文件和目录 | 安全审计
述
除了审核常规的Linux文件系统和系统调用之外,还审核所有与Docker相关的文件和目录。 Docker守护程序以" root"特权运行。 其行为取决于某些关键文件和目录。如 /var/lib/docker、/etc/docker、docker.service、 docker.socket、/usr/bin/docker-containerd、/usr/bin/docker-runc等文件和目录
检查提示
--
加固建议
找到/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件(若没有则先确认是否已安装auditd服务), 在文件中添加以下行: 注:/usr/lib/systemd/system/docker.socket 文件不存在,可不加入审计
-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/containerd -k docker
-w /usr/bin/runc -k docker
然后,重新启动audit程序。 例如
service auditd restart
如果无法重启audit服务,可通过 auditctl -R [audit.rules文件] 进行手动加载,验证方式 auditctl -l
操作时建议做好记录或备份