阿里云docker的加固建议

1、将容器的根文件系统挂载为只读服务配置

添加“ --read-only”标志，以允许将容器的根文件系统挂载为只读。可以将其与卷结合使用，以强制容器的过程仅写入要保留的位置。您应该按以下方式运行容器：

docker run --interactive --tty --read-only --volume <writable-volume> <Container Image Name or ID> <Command>

2、限制容器之间的网络流量服务配置

描述
默认情况下，同一主机上的容器之间允许所有网络通信。如果不需要，请限制所有容器间的通信。将需要相互通信的特定容器链接在一起。默认情况下，同一主机上所有容器之间都启用了不受限制的网络流量。因此，每个容器都有可能读取同一主机上整个容器网络上的所有数据包。这可能会导致意外和不必要的信息泄露给其他容器。因此，限制容器间的通信。

检查提示

加固建议
在守护程序模式下运行docker并传递'--icc = false'作为参数。例如，

/usr/bin/dockerd --icc=false

若使用systemctl管理docker服务则需要编辑

/usr/lib/systemd/system/docker.service

文件中的ExecStart参数添加 --icc=false选项然后重启docker服务

systemctl daemon-reload
systemctl restart docker

操作时建议做好记录或备份

3、限制容器的内存使用量服务配置
描述
默认情况下，Docker主机上的所有容器均等地共享资源。通过使用Docker主机的资源管理功能（例如内存限制），您可以控制容器可能消耗的内存量。
默认情况下，容器可以使用主机上的所有内存。您可以使用内存限制机制来防止由于一个容器消耗主机的所有资源而导致的服务拒绝，从而使同一主机上的其他容器无法执行其预期的功能。对内存没有限制可能会导致一个问题，即一个容器很容易使整个系统不稳定并因此无法使用。

检查提示

加固建议
仅使用所需的内存来运行容器。始终使用'--memory'参数运行容器。您应该按以下方式启动容器：

docker run --interactive --tty --memory 256m <Container Image Name or ID>