Хочешь не словить взлом через контейнер? Вот база, которую игнорируют 90%: 1⃣ Без root Запускай с --user - если контейнер взломают, не получат доступ ко всей системе. 2⃣ Никакого privileged --privileged = полный контроль над хостом. Используй только если ОЧЕНЬ надо. 3⃣ Закрывай лишние порты Открывай только то, что реально используешь. Остальное - дыра. 4⃣ Ставь лимиты --memory и --cpus - чтобы один контейнер не убил весь сервер. 5⃣ Read-only FS --read-only - нельзя изменить файлы или подложить вредоносный код. 6⃣ Запрет на повышение прав --security-opt=no-new-privileges - процессы не смогут эскалировать доступ. Главное правило: контейнеру даёшь ровно столько прав, сколько нужно. Ни больше.
🐳 Docker безопасность - 6 правил, которые реально спасают
Хочешь не словить взлом через контейнер? Вот база, которую игнорируют 90%:
1⃣ Без root
Запускай с --user - если контейнер взломают, не получат доступ ко всей системе.
2⃣ Никакого privileged
--privileged = полный контроль над хостом. Используй только если ОЧЕНЬ надо.
3⃣ Закрывай лишние порты
Открывай только то, что реально используешь. Остальное - дыра.
4⃣ Ставь лимиты
--memory и --cpus - чтобы один контейнер не убил весь сервер.
5⃣ Read-only FS
--read-only - нельзя изменить файлы или подложить вредоносный код.
6⃣ Запрет на повышение прав
--security-opt=no-new-privileges - процессы не смогут эскалировать доступ.
Главное правило:
контейнеру даёшь ровно столько прав, сколько нужно. Ни больше.
