守护进程文件权限配置规则
确认registry证书文件所有权设为root:root,权限设为400
“/etc/docker/certs.d/<registry-name>”目录包含Docker注册证书。这些证书文件的属主和属组必须是root,权限必须为400,才能保证证书的完整性。
确认daemon.json文件所有权设为root:root,文件权限设为600
daemon.json文件包含更改docker守护进程的敏感参数,是重要的全局配置文件,其属主和属组必须是root,且应只对root可写,以保证文件的完整性。该文件并不是默认存在。
建议修改方式:
1
|
# chmod 600 /etc/docker/daemon.json
|
若“/etc/docker/daemon.json”文件不存在,则自行创建该文件。
确认docker.sock文件所有权为root:docker,文件权限为660
默认情况下,Docker守护进程会生成一个socket(/var/run/docker.sock)文件来进行本地进程通信。docker.sock文件包含可能会改变Docker远程API行为的敏感参数。因此,它的属主和属组必须是root:docker,如果没有特殊需求,它的权限应设为660,以维护文件的完整性。
建议修改方式:
进入“/var/run”目录,设置属主和权限。
1 2 3 |
# cd /var/run # chown root:docker /var/run/docker.sock # chmod 660 /var/run/docker.sock |
可执行以下命令查询上述修改是否成功。
1
|
# ls -l
|
确认“docker.sock”文件的属主和属组为root:docker,权限为660,则修改成功。
父主题: 关于Docker容器使用过程的安全规则