Me gustaría reducir las funciones de mis demonios Docker utilizados para ejecutar contenedores de producción para reducir su superficie de ataque.
Yo quiero:
- limitar las extracciones de un único registro
- rechazar
push - rechazar
build - probablemente no permita muchas otras funciones
Probablemente se trate de bloquear algunas rutas de la API REST del demonio.
He leído estoDocumentación de Docker sobre la reducción de la superficie de ataque del demoniopero no dice nada sobre deshabilitar las funciones del demonio.
¿Es posible? ¿Cómo puedo hacer eso?
Respuesta1
En primer lugar, el acceso a la API de Docker suele ser equivalente al acceso raíz en el host. No brinde acceso a esta API a usuarios en los que de otro modo no confiaría como root. Se está trabajando en el soporte sin raíz que ingresa a GA con el motor Docker, por lo que es posible que desees investigarlo en lugar de intentar bloquear la API.
La mayoría de los intentos de limitar el motor implican envolver la API de Docker con una API de nivel superior; por ejemplo, Kubernetes, Docker EE y otras abstracciones de nivel superior proporcionan RBAC granular sin dar acceso directo a la API de Docker.
Dicho esto, puede limitar la API de Docker como lo solicitó usando uncomplemento de autenticación. Originalmente, la única implementación de código abierto que conocía fue proporcionada porcerradura de la torcedura. Más recientemente,OPA ha proporcionado su propia implementación.. Solo tenga en cuenta que cualquier usuario con ese acceso a la API puede potencialmente deshabilitar o eludir ese complemento con el acceso de nivel raíz que de otro modo tendría con Docker.