卡巴斯基容器安全

创建运行时配置文件

要添加容器运行时配置文件：

1. 在“策略 → 运行时策略 → 容器运行时配置文件”下，单击“添加配置文件”按钮。

   将打开配置文件设置输入窗口。

2. 输入运行时配置文件的名称，如有必要，可以输入描述。
3. 在“限制容器可执行文件”部分中，使用“已禁用”/“已启用”切换按钮根据规则限制可执行文件。在列表中，选择保证最佳容器性能的阻止选项：
   • 阻止所有可执行文件的进程 – 应用程序在容器运行时阻止所有可执行文件启动。
   • 阻止指定的可执行文件 – 应用程序会阻止您在“阻止指定的可执行文件”字段中选择的可执行文件。您可以阻止所有可执行文件或特定可执行文件列表。您还可以使用 * 掩码（例如 /bin/*）将规则应用于整个目录及其子目录。

     还可以通过指定阻止规则的排除项来微调允许和阻止的可执行文件列表。例如，可以针对应用于 /bin/* 的规则专门排除路径 /bin/cat。在这种情况下，除了 /bin/cat 应用程序之外，/bin/ 目录中的所有可执行文件都将被阻止运行。

     可执行文件的路径示例

     指定可执行二进制文件的直接路径：

     /bin/bash

     使用 * 掩码指定目录：

     /bin/*

     在此示例中，允许运行 /bin/ 目录的子目录中的所有可执行文件。

     如果选中“允许排除项”复选框，则当容器启动并运行时，应用程序将阻止除“允许排除项”字段中指定的可执行文件之外的所有可执行文件。

     为这组参数指定的所有规则和例外都是正则表达式（regexp）。该解决方案使用指定的模式和指标来查找与特定正则表达式匹配的所有文件。

4. 在“限制入口容器连接”部分中，使用“已禁用”/“已启用”切换开关来激活限制容器入站连接的功能。当此限制处于活动状态时，卡巴斯基容器安全将阻止除指定为排除项之外的所有入站连接源。

   如果选中“允许排除项”复选框，则可以指定一个或多个允许的入站网络连接源参数。要定义排除项，您必须至少指定以下参数之一：

   • 源。在“源”字段中，以 CIDR4 或 CIDR6 表示法输入入站连接源的 IP 地址或 IP 地址范围。
   • 在“TCP 端口”字段和“UDP 端口”字段中，输入用于连接的特定端口或端口范围。

     如果需要指定多个端口，请使用逗号，例如 8080, 8082。

     如果不指定端口值，应用程序将允许通过所有端口进行连接。

5. 在“限制出口容器连接”部分中，使用“已禁用”/“已启用”切换开关来激活限制向已定义目的地的出站连接的功能。

   如果选中“允许排除项”复选框，则可以指定一个或多个允许的出站网络连接目的地参数。要定义排除项，您必须至少指定以下参数之一：

   • 目的地。在“目的地”字段中，以 CIDR4 或 CIDR6 表示法输入出站连接目的地的 IP 地址或 IP 地址范围，或者目的地的网址 (URL)。
   • 在“TCP 端口”字段和“UDP 端口”字段中，输入用于连接的特定端口或端口范围。

     如果需要指定多个端口，请使用逗号，例如 8080, 8082。

     如果不指定端口值，应用程序将允许通过所有端口进行连接。

6. 单击“保存”。

添加的运行时配置文件显示在“策略 → 运行时策略 → 容器运行时配置文件”部分中。