安全加固
安全要求
使用 API 读取文件时,用户需要保证该文件的 owner 必须为自己,且权限不高于 640,避免发生提权等安全问题。
外部下载的软件代码或程序可能存在风险,功能的安全性需由用户保证。
加固需知
本文中列出的安全加固措施为基本的加固建议项。用户应根据自身业务,重新审视整个系统的网络安全加固措施,必要时可参考业界优秀加固方案和安全专家的建议。
操作系统安全加固
普通用户 PATH 配置
操作系统安装后,若配置普通用户,可以通过在 /etc/login.defs 文件中新增 ALWAYS_SET_PATH=yes 配置,防止越权操作。
设置 umask
建议用户将宿主机和容器中的 umask 设置为 027 及以上,提高文件权限。
以设置 umask 为 027 为例,具体操作如下所示。
-
以 root 用户登录服务器,编辑
/etc/profile文件。vim /etc/profile -
在
/etc/profile文件末尾加上 umask 027,保存并退出。 -
执行如下命令使配置生效。
source /etc/profile
无属主文件安全加固
因为官方 Docker 镜像与物理机上的操作系统存在差异,系统中的用户可能不能一一对应,导致物理机或容器运行过程中产生的文件变成无属主文件。
用户可以执行 find / -nouser -o -nogroup 命令,查找容器内或物理机上的无属主文件。根据文件的 uid 和 gid 创建相应的用户和用户组,或者修改已有用户的 uid、用户组的 gid 来适配,赋予文件属主,避免无属主文件给系统带来安全隐患。