Я хотел бы уменьшить возможности моих демонов Docker, используемых для запуска производственных контейнеров, чтобы уменьшить их поверхность для атак.
Я бы хотел:
pushbuildВероятно, речь идет о блокировке некоторых маршрутов REST API демона.
Я читал это Документация Docker об уменьшении поверхности атаки демона но он ничего не говорит об отключении функций демона.
Это возможно? Как я могу это сделать?
Во-первых, доступ к Docker API обычно эквивалентен корневому доступу на хосте. Не предоставляйте пользователям доступ к этому API, которому вы иначе не доверяли бы как root. В настоящее время ведется работа по поддержке без root-доступа, которая входит в GA с помощью механизма докеров, поэтому вы можете исследовать это, а не пытаться заблокировать API.
Большинство попыток ограничить движок связаны с обертыванием API докеров API более высокого уровня, например Kubernetes, Docker EE и другие абстракции более высокого уровня предоставляют детализированный RBAC без прямого доступа к API докеров.
Тем не менее, вы можете ограничить API докеров, как вы просили, используя плагин authz. Изначально единственная известная мне реализация с открытым исходным кодом была предоставлена поворотный замок. В последнее время, OPA предоставила собственную реализацию. Просто поймите, что любой пользователь с этим доступом к API может потенциально отключить или обойти этот плагин с доступом корневого уровня, который они в противном случае имеют с помощью docker.