描述
除了審核常規(guī)的Linux文件系統(tǒng)和系統(tǒng)調(diào)用之外,還審核所有與Docker相關(guān)的文件和目錄屋休。 Docker守護(hù)程序以“ root”特權(quán)運(yùn)行。 其行為取決于某些關(guān)鍵文件和目錄与倡。如 /var/lib/docker滩愁、/etc/docker虫给、docker.service藤抡、 docker.socket、/usr/bin/containerd抹估、/usr/bin/runc等文件和目錄
加固建議
找到/etc/audit/audit.rules與/etc/audit/rules.d/audit.rules文件(若沒有則先確認(rèn)是否已安裝auditd服務(wù))缠黍, 在文件中添加以下行: 注:/usr/lib/systemd/system/docker.socket 文件不存在,可不加入審計(jì)
-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/containerd -k docker
-w /usr/bin/runc -k docker
然后药蜻,重新啟動(dòng)audit程序瓷式。 例如
service auditd restart
如果無(wú)法重啟audit服務(wù),可通過(guò) auditctl -R [audit.rules文件] 進(jìn)行手動(dòng)加載语泽,驗(yàn)證方式auditctl -l
操作時(shí)建議做好記錄或備份
