描述

除了审核常规的Linux文件系统和系统调用之外，还审核所有与Docker相关的文件和目录。 Docker守护程序以“ root”特权运行。 其行为取决于某些关键文件和目录。如 /var/lib/docker、/etc/docker、docker.service、 docker.socket、/usr/bin/containerd、/usr/bin/runc等文件和目录

加固建议

找到/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件（若没有则先确认是否已安装auditd服务）， 在文件中添加以下行： 注：/usr/lib/systemd/system/docker.socket 文件不存在，可不加入审计

-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/containerd -k docker
-w /usr/bin/runc -k docker

然后，重新启动audit程序。 例如

service auditd restart
如果无法重启audit服务，可通过 auditctl -R [audit.rules文件] 进行手动加载，验证方式auditctl -l

操作时建议做好记录或备份