Повышение безопасности Docker-демона

В целях повышения безопасности рекомендуется произвести дополнительную настройку Docker-демона.

В конфигурационный файл /etc/docker/daemon.json необходимо добавить следующие параметры:

{
    "icc": false,
    "userns-remap": "default",
    "live-restore": true,
    "userland-proxy": false,
    "no-new-privileges": true
}

Table 1. Описание параметров
Поле	Описание
`icc`	Настройка связи между контейнерами. Значение `false` отключает обмен данными между контейнерами во избежание утечки информации. Обмен данными разрешается при явном задании связи из командной строки.
`userns-remap`	Переназначение пространства имен пользователей. Значение `default` задает настройки переназначения по умолчанию.
`live-restore`	Настройка поведения контейнеров при неработающем Docker-демоне. Значение `true` разрешает контейнерам продолжать работу, что помогает сократить время простоя контейнеров при выключении или перезагрузке системы, а также упрощает процесс установки патчей и обновлений.
`userland-proxy`	Настройка использования прокси в пользовательском пространстве. При применении технологии hairpin NAT, использование прокси в пользовательском пространстве становится избыточным и может увеличить число потенциальных векторов атаки. Значение `false` отключает прокси и повышает уровень безопасности системы.
`no-new-privileges`	Настройка повышения привилегий. Значение `true` предотвращает получение дополнительных привилегий контейнерами при помощи suid или sguid.