如何保障CentOS Overlay安全

CentOS Overlay 安全加固清单

一 基础环境与内核要求

• 保持系统与容器运行时为最新，及时执行yum update修补漏洞；仅启用必要的内核模块与存储驱动，减少攻击面。
• 容器场景优先使用Overlay2存储驱动，建议内核版本≥4.0；如使用较旧内核，需先评估升级或选择合适驱动。
• 宿主机数据盘建议使用XFS作为 Docker 数据目录（/var/lib/docker）文件系统，以更好兼容 Overlay2。
• 确认 Overlay 内核模块已加载，目录**/var/lib/docker/overlay2存在且权限正确；Docker 配置文件/etc/docker/daemon.json**语法与参数正确。
• 设置资源与日志限额，避免日志无限增长导致磁盘被占满（例如限制日志轮转与最大文件大小）。

二 身份与访问控制

• 账户最小化：禁用或删除root 以外 UID=0的账户；清理不必要的系统账户（如adm、lp、sync等）。
• 口令与登录安全：强制使用包含大小写字母、数字与特殊字符且长度**>10位的密码；为 root 设置TMOUT自动注销；通过/etc/pam.d/su限制 su 使用范围；必要时锁定关键文件（如/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow**）防篡改。
• 服务最小化：关闭非必要服务与端口，仅保留业务必需服务，降低被横向渗透风险。

三 SELinux 与容器运行时安全

• 启用并保持SELinux 为 enforcing模式，通过策略限制容器与 Overlay 的访问范围；如需容器写入挂载点，为相应目录设置合适上下文（如svirt_sandbox_file_t）。
• 容器以非 root用户运行，按需配置capabilities白名单，避免赋予不必要特权；镜像来源可信，及时更新基础镜像以修复 CVE。
• 存储目录（如**/var/lib/docker/overlay2**）权限最小化，仅授权必要主体访问。

四 网络与存储隔离

• 使用 Docker 的Overlay 网络进行容器间通信隔离，按业务划分网络与租户，减少不必要的跨网络通信。
• 通过firewalld仅开放必需端口（如22/SSH、80/HTTP、443/HTTPS），对数据库、管理端口设置来源白名单与最小访问规则。
• 对宿主机上承载敏感数据的文件系统启用LUKS加密，防止物理或离线访问导致的数据泄露。

五 监控审计与运维

• 启用并配置auditd记录关键文件与系统调用审计日志，定期分析异常行为；集中收集与分析容器与宿主机日志。
• 持续监控 Overlay 使用情况（挂载点、空间占用、inodes、异常进程），设置告警；定期清理无用镜像、容器与卷，避免资源耗尽。
• 变更前备份关键配置（如 daemon.json、fstab、SELinux 策略与系统账户配置），先在测试环境验证再上线生产。