Container Hardening Check
Die folgenden Tests helfen zu verstehen ob die angedachten Hardening-Maßnahmen greifen.
read_only: true
Abschnitt betitelt „read_only: true“Im Container prüfen
touch /testErwartet
Read-only file systemno-new-privileges=true
Abschnitt betitelt „no-new-privileges=true“grep NoNewPrivs /proc/self/statusErwartet
NoNewPrivs: 1seccomp=default
Abschnitt betitelt „seccomp=default“grep Seccomp /proc/self/statusErwartet
Seccomp: 2cap_drop: - ALL
Abschnitt betitelt „cap_drop: - ALL“grep CapEff /proc/self/statusErwartet
CapEff: 0000000000000000 (oder minimal)Volume read-only (:ro)
Abschnitt betitelt „Volume read-only (:ro)“touch /workspaces/security-oriented-dev-container-project/testErwartet
Read-only file systemmount | grep ' /tmp 'Erwartet
tmpfs on /tmp type tmpfsuser: node (kein root)
Abschnitt betitelt „user: node (kein root)“idErwartet
uid=1000(node) gid=1000(node)pids_limit
Abschnitt betitelt „pids_limit“cat /sys/fs/cgroup/pids.maxErwartet
512init: true
Abschnitt betitelt „init: true“cat /proc/1/commErwartet
tinioder
docker-initSecrets (nicht als env)
Abschnitt betitelt „Secrets (nicht als env)“ls /run/secretsErwartet
github_auth_tokenapp_env