如何通过在Docker中设置容器只读根文件系统来有效降低逃逸风险?
- 内容介绍
- 文章标签
- 相关推荐
本文共计795个文字,预计阅读时间需要4分钟。
直接加+--read-only+是最基础且关键的一步,但仅做这一步往往会使容器根本无法启动——因为大量应用需要+/tmp、+/run、+/var/run+写临时文件或PID。真正降低逃逸风险,依赖的是只读+精确释放可写路径的组合策略。
用 --read-only 启动容器,强制根文件系统只读
这是防御的第一道墙。启用后,整个 / 下所有路径(包括 /etc、/bin、/usr)都不可写,攻击者无法替换二进制、注入动态库、篡改配置文件或向系统目录写入恶意脚本。
- 命令示例:
docker run --read-only nginx:alpine - 验证方式:进入容器执行
mount | grep 'on / type',看到ro标志即生效 - 注意:此时
touch /test或apt update会直接报 Read-only file system
为必需路径挂载 tmpfs,提供内存级可写空间
只读 ≠ 完全不能写,而是要把写操作严格限制在无持久化、易清理、受控的区域。tmpfs 是最佳选择:数据仅驻留内存,容器退出即清空,不落盘、无残留,天然防持久化后门。
本文共计795个文字,预计阅读时间需要4分钟。
直接加+--read-only+是最基础且关键的一步,但仅做这一步往往会使容器根本无法启动——因为大量应用需要+/tmp、+/run、+/var/run+写临时文件或PID。真正降低逃逸风险,依赖的是只读+精确释放可写路径的组合策略。
用 --read-only 启动容器,强制根文件系统只读
这是防御的第一道墙。启用后,整个 / 下所有路径(包括 /etc、/bin、/usr)都不可写,攻击者无法替换二进制、注入动态库、篡改配置文件或向系统目录写入恶意脚本。
- 命令示例:
docker run --read-only nginx:alpine - 验证方式:进入容器执行
mount | grep 'on / type',看到ro标志即生效 - 注意:此时
touch /test或apt update会直接报 Read-only file system
为必需路径挂载 tmpfs,提供内存级可写空间
只读 ≠ 完全不能写,而是要把写操作严格限制在无持久化、易清理、受控的区域。tmpfs 是最佳选择:数据仅驻留内存,容器退出即清空,不落盘、无残留,天然防持久化后门。