CKS-CN 考试知识点分享(3)---Dockerfile 安全最佳实践
考试版本:cks-cn v1.33
Task
分析和编辑给定的 Dockerfile /cks/docker/Dockerfile并修复在文件中拥有的突出的安全/最佳实践问题的一个指令。
分析和编辑给定的清单文件 /cks/docker/deployment.yaml ,并修复在文件中拥有突出的安全/最佳实践问题的一个字段。
注意:请勿添加或删除配置设置;
只需修改现有的配置设置让以上两个配置设置都不再有安全/最佳实践问题。
注意:如果您需要非特权用户来执行任何项目,请使用用户 ID 65535 的用户 nobody 。
Answer
修改 dockerfile不使用root运行
USER nobody
设置deployment的根目录文件只读,防止静态资源被篡改。
关闭特权权限。
securityContext:runAsUser: 65535readOnlyRootFilesystem: trueprivileged: falsecapabilities:drop: ["all"]add:- NET_BIND_SERVICE