💡
原文中文,约5100字,阅读约需13分钟。
📝
内容提要
近期多台服务器遭受挖矿木马攻击,主要因Docker权限过高和服务漏洞。为提升安全性,建议采用Rootless模式运行Docker,降低容器逃逸风险。安装时需注意依赖和配置,避免暴露远程API,并确保普通用户权限管理。尽管配置复杂,但能有效增强安全性,适合生产环境。
🎯
关键要点
- 近期多台服务器遭受挖矿木马攻击,主要因Docker权限过高和服务漏洞。
- 建议采用Rootless模式运行Docker,降低容器逃逸风险。
- Rootless模式让Docker守护进程以普通用户权限运行,安全性大幅提升。
- 安装Docker时需注意依赖和配置,避免暴露远程API。
- Rootless模式下,所有Docker命令需在普通用户下执行,数据备份在用户目录下。
- 需要给当前用户授权绑定低端口的权限,以解决无法绑定1-1023端口的问题。
- 部分系统级配置在Rootless下无效,需注意相关限制。
- 使用ACL放行解决容器内UID与宿主机UID不一致的问题。
- 服务器安全无小事,需从权限层面做好最小化管控,避免恶意程序入侵。
❓
延伸问答
挖矿木马攻击的主要原因是什么?
主要原因是Docker权限过高和服务漏洞暴露。
什么是Docker的Rootless模式?
Rootless模式让Docker守护进程以普通用户权限运行,从而降低容器逃逸风险。
如何安装Docker的Rootless模式?
可以使用docker官方脚本和清华镜像进行安装,并运行dockerd-rootless-setuptool.sh install。
Rootless模式下如何解决无法绑定低端口的问题?
需要给当前用户授权绑定低端口的权限,使用命令sudo sysctl net.ipv4.ip_unprivileged_port_start=0。
使用Rootless模式时有哪些配置限制?
部分系统级配置在Rootless下无效,如iptables和远程API相关配置。
为什么要避免暴露Docker的远程API?
暴露Docker远程API相当于直接开放主机的root权限,是服务器被入侵的高频诱因。
➡️
