使用 Docker Compose + Ubuntu 的安全部署
· 阅读需 6 分钟
在硅谷的创业公司中,Docker Compose 是快速部署和管理容器化应用的首选工具之一。然而,便利往往伴随安全风险。作为站点可靠性工程师(SRE),我深知安全漏洞可能导致灾难性后果。本文将分享我在实际工作中结合 Docker Compose 与 Ubuntu 系统总结的最佳安全实践,帮助你在享受 Docker Compose 便利的同时,确保系统安全。
I. 加固 Ubuntu 系统安全
在部署容器之前,确保 Ubuntu 主机本身的安全至关重要。以下是关键步骤:
1. 定期更新 Ubuntu 和 Docker
确保系统和 Docker 均保持最新,以修复已知漏洞:
sudo apt update && sudo apt upgrade -y
sudo apt install docker-ce docker-compose-plugin
2. 限制 Docker 管理权限
严格控制 Docker 管理权限,防止特权提升攻击:
sudo usermod -aG docker deployuser
# 防止普通用户轻易获取 Docker 管理权限
3. 配置 Ubuntu 防火墙 (UFW)
合理限制网络访问,防止未授权访问:
sudo ufw allow OpenSSH
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable
sudo ufw status verbose