任務
分析和編輯給定的Dockerfile /cks/docker/Dockerfile(基於ubuntu:16.04 鏡像), 並修復在文件中擁有的突出的安全/最佳實踐問題的兩個指令。
分析和編輯給定的清單文件 /cks/docker/deployment.yaml , 並修復在文件中擁有突出的安全/最佳實踐問題的兩個字段。
注意:請勿添加或刪除配置設置;只需修改現有的配置設置讓以上兩個配置設置都不再有安全/最佳實踐問題。
注意:如果您需要非特權用戶來執行任何項目,請使用用戶ID 65535 的用戶 nobody 。
只修改即可,不需要創建。
解題
- 修改Dockerfile
#修改基礎鏡像爲題目要求的 ubuntu:16.04
FROM ubuntu:16.04
#僅將CMD上面的USER root修改爲USER nobody,不要改其他的USER root。
USER nobody
- 修改Deployment文件
vim /cks/docker/deployment.yaml
# 在安全內容裏刪除'SYS_ADMIN';確保securityContext的privileged爲False;確保readOnlyFilesystem爲True; runAsUser爲65535
# 內部的pod標籤保持一致,具體參考環境
- 修改後無需重啓
參考
https://kubernetes.io/zh/docs/concepts/security/pod-security-standards/#restricted