[도커] 인증-권한 제어 항목

2019_____________Docker

5.27MB

 

잉포섹 도커 가이드 ↑

이거밖에 없는거니 정말 이거만 따라하는거니

 

[1.2. 인증-권한 제어] 이 항목은 아래 두가지로 나뉜다

- 불필요한 사용자 확인

- 인증-권한 제어 플러그인 사용

 

불필요한 사용자 확인은 docker group에 불필요한 사용자 있는지 보는거

docker group에 등록된 사용자는 docker 명령어 사용할 수 있으니껜

계정 있다고 취약 때릴게 아니라 인터뷰로 가야겠네

 

인증-권한 제어 플러그인 사용은 도커 플러그인중에 authorization-plugin 사용하라는 건데

이거 사용하면 아래처럼 특정 명령어 사용 가능하거나 막거나 할 수 있는듯 하다

근데 어차피 계정 한개면 명령어 제어할 필요 없지 않나? 

(참고 : https://runebook.dev/ko/docs/docker/engine/extend/plugins_authorization/index)

 

진단 방법은 도커 데몬 구동방법에 따라 다른데

dockerd --authorization-plugin=<PLUGIN_ID> 로 구동한 경우에는

ps -ef | grep dockerd 로 확인했을때 --authorization-plugin 설정 되어있는지 확인해보면 되고

/etc/docker/daemon.json 에 설정 후 service docker start 로 구동한 경우에는

daemon.json 에 authorization-plugins 설정 있는지 확인하면 됨

 

플러그인 설치 및 사용방법은 따로 정리 → https://saltlee.tistory.com/199

 

[3.1 Dockerfile Config] 

Dockerfile 은 docker build 명령어로 컨테이너 한방에 생성할 수 있잖아

얘 내용 안에 중요정보 노출되는지 확인하는거

 

일단 Dockerfile 사용할 때 RUN useradd 로 사용자 지정해서 사용하라네? 걍 권한 관련해서 제한시키는거 같고

그담에 Dockerfile 안에 패스워드나 키 정보 같은거 있는지 확인하는거

ADD 대신 COPY 사용하는거 ADD 는 원격지 파일 복사가 가능해서 그런것 같네