使用API读取文件时,用户需要保证该文件的owner必须为自己,且权限不大于640,避免发生提权等安全问题。
外部下载的软件代码或模型权重等文件可能存在安全风险,功能的安全性需由用户保证。
本文中列出的安全加固措施为基本的加固建议项。用户应根据自身业务,重新审视整个系统的网络安全加固措施,必要时可参考业界优秀加固方案和安全专家的建议。
操作系统安装后,若配置普通用户,可以通过在“/etc/login.defs”文件中新增“ALWAYS_SET_PATH=yes”配置,防止越权操作。
建议用户将宿主机和容器中的umask设置为027及以上,提高文件权限。
以设置umask为027为例,具体操作如下所示。
-
以root用户登录服务器,编辑“/etc/profile”文件。
vim /etc/profile -
在“/etc/profile”文件末尾加上umask 027,保存并退出。
-
执行如下命令使配置生效。
source /etc/profile
因为官方Docker镜像与物理机上的操作系统存在差异,系统中的用户可能不能一一对应,导致物理机或容器运行过程中产生的文件变成无属主文件。
用户可以执行find / -nouser -o -nogroup命令,查找容器内或物理机上的无属主文件。根据文件的UID和GID创建相应的用户和用户组,或者修改已有用户的UID、用户组的GID来适配,赋予文件属主,避免无属主文件给系统带来安全隐患。
需要关注全网侦听的端口和非必要端口,如有非必要端口请及时关闭。建议用户关闭不安全的服务,如telnet、ftp等。具体关闭方法请参考所使用的操作系统相关文档。
用户可以按IP限制与服务器的连接的速率对系统进行防DoS攻击,方法包括但不限于利用Linux系统自带iptables防火墙进行预防、优化sysctl参数等。具体使用方法,用户可自行查阅相关资料。