管理容器运行时配置文件

实施运行时策略时，卡巴斯基容器安全可以应用用户定义的规则来监控进程和网络。为此，请将运行时配置文件添加到适当的运行时策略中。运行时配置文件本质上是容器限制的列表。镜像配置文件定义了安全镜像部署和从镜像部署的应用程序的安全活动的设置。配置文件中分配的操作可以显著降低网络犯罪分子渗透设施的能力，并可以提高容器运行时操作期间的安全性。

以下设置指定了镜像配置文件中的限制：

应阻止的可执行文件。
入站和出站连接的网络限制。

已配置的配置文件列表在“策略 → 运行时策略”下的“容器运行时配置文件”选项卡上显示为表格。在此部分中，还可以执行以下操作：

创建新的容器运行时配置文件。单击列表上方的“添加配置文件”按钮，打开配置文件设置窗口。
通过单击运行时配置文件名称中的链接来编辑配置文件设置。
删除运行时配置文件。

本节内容

页首

创建运行时配置文件

要添加容器运行时配置文件：

在“策略 → 运行时策略 → 容器运行时配置文件”下，单击“添加配置文件”按钮。
将打开配置文件设置输入窗口。
输入运行时配置文件的名称，如有必要，可以输入描述。
在“限制容器可执行文件”部分中，使用“已禁用”/“已启用”切换按钮根据规则限制可执行文件。在列表中，选择保证最佳容器性能的阻止选项：
- 阻止所有可执行文件的进程 – 应用程序在容器运行时阻止所有可执行文件启动。
- 阻止指定的可执行文件 – 应用程序会阻止您在“阻止指定的可执行文件”字段中选择的可执行文件。您可以阻止所有可执行文件或特定可执行文件列表。您还可以使用 * 掩码（例如 /bin/*）将规则应用于整个目录及其子目录。
  还可以通过指定阻止规则的排除项来微调允许和阻止的可执行文件列表。例如，可以针对应用于 /bin/* 的规则专门排除路径 /bin/cat。在这种情况下，除了 /bin/cat 应用程序之外，/bin/ 目录中的所有可执行文件都将被阻止运行。
  
  可执行文件的路径示例
  
  指定可执行二进制文件的直接路径：
  
  /bin/bash
  
  使用 * 掩码指定目录：
  
  /bin/*
  
  在此示例中，允许运行 /bin/ 目录的子目录中的所有可执行文件。
  
  如果选中“允许排除项”复选框，则当容器启动并运行时，应用程序将阻止除“允许排除项”字段中指定的可执行文件之外的所有可执行文件。
  
  为这组参数指定的所有规则和例外都是正则表达式（regexp）。该解决方案使用指定的模式和指标来查找与特定正则表达式匹配的所有文件。
在“限制入口容器连接”部分中，使用“已禁用”/“已启用”切换开关来激活限制容器入站连接的功能。当此限制处于活动状态时，卡巴斯基容器安全将阻止除指定为排除项之外的所有入站连接源。
如果选中“允许排除项”复选框，则可以指定一个或多个允许的入站网络连接源参数。要定义排除项，您必须至少指定以下参数之一：
- 源。在“源”字段中，以 CIDR4 或 CIDR6 表示法输入入站连接源的 IP 地址或 IP 地址范围。
- 在“TCP 端口”字段和“UDP 端口”字段中，输入用于连接的特定端口或端口范围。
  如果需要指定多个端口，请使用逗号，例如 8080, 8082。
  
  如果不指定端口值，应用程序将允许通过所有端口进行连接。
在“限制出口容器连接”部分中，使用“已禁用”/“已启用”切换开关来激活限制向已定义目的地的出站连接的功能。
如果选中“允许排除项”复选框，则可以指定一个或多个允许的出站网络连接目的地参数。要定义排除项，您必须至少指定以下参数之一：
- 目的地。在“目的地”字段中，以 CIDR4 或 CIDR6 表示法输入出站连接目的地的 IP 地址或 IP 地址范围，或者目的地的网址 (URL)。
- 在“TCP 端口”字段和“UDP 端口”字段中，输入用于连接的特定端口或端口范围。
  如果需要指定多个端口，请使用逗号，例如 8080, 8082。
  
  如果不指定端口值，应用程序将允许通过所有端口进行连接。
单击“保存”。

添加的运行时配置文件显示在“策略 → 运行时策略 → 容器运行时配置文件”部分中。

页首

配置的运行时配置文件示例

下表列出了应用程序最常使用的一些镜像，以及在运行时配置文件中为其配置的限制设置。

镜像以及配置的设置

镜像名称	限制容器可执行模块	限制网络连接
Nginx	允许的可执行文件： `/usr/sbin/nginx`	阻止出站连接
Mysql	允许的可执行文件： `/usr/bin/awk` `/bin/sleep` `/usr/bin/mawk` `/bin/mkdir` `/usr/bin/mysql` `/bin/chown` `/usr/bin/mysql_tzinfo_to_sql` `/bin/bash` `/bin/sed` `/usr/sbin/mysqld`	阻止出站连接
Wordpress	允许的可执行文件： `/bin/dash` `/usr/bin/mawk` `/usr/bin/cut` `/bin/bash` `/usr/local/bin/php` `/usr/bin/head` `/usr/bin/sha1sum` `/bin/tar` `/bin/sed` `/bin/rm` `/usr/bin/awk` `/bin/sh` `/usr/sbin/apache2` `/bin/chown` `/usr/local/bin/apache2-foreground` `/bin/ls` `/bin/cat`
节点	允许的可执行文件： `/usr/local/bin/node`	阻止出站连接
MongoDB	允许的可执行文件： `/bin/chown` `/usr/local/bin/gosu` `/usr/bin/mongod` `/usr/bin/mongos` `/usr/bin/mongo` `/usr/bin/id` `/bin/bash` `/usr/bin/numactl` `/bin/dash` `/bin/sh`
HAProxy	允许的可执行文件： `/bin/dash` `/usr/bin/which` `/usr/local/sbin/haproxy` `/bin/busyboxal/sbin/haproxy-systemd-wrapper` `/usr/loc`
Hipache	允许的可执行文件： `/usr/bin/python2.7` `/usr/bin/nodejs` `/usr/bin/redis-server` `/bin/dash` `/usr/local/bin/hipache`
Drupal	允许的可执行文件： `/bin/bash` `/bin/rm` `/usr/sbin/apache2`
Redis	允许的可执行文件： `/bin/bash` `/bin/chown` `/usr/local/bin/gosu` `/usr/bin/id` `/usr/local/bin/redis-server` `/bin/sh` `/bin/dash` `/sbin/redis-cli` `/bin/redis-cli` `/usr/sbin/redis-cli` `/usr/bin/redis-cli` `/usr/local/sbin/redis-cli` `/usr/local/bin/redis-cli` `/bin/busybox`	阻止出站连接
Tomcat	允许的可执行文件： `/usr/bin/tty` `/bin/uname` `/usr/bin/dirname` `/usr/lib/jvm/java-7-openjdk-amd64/jre/bin/java` `/bin/dash` `/usr/lib/jvm/java-8-openjdk-amd64/jre/bin/java`	阻止出站连接
Celery	允许的可执行文件： `/bin/dash` `/sbin/ldconfig` `/bin/uname` `/usr/local/bin/python3.4` `/bin/sh`

页首

更改运行时配置文件设置

要更改容器运行时配置文件设置：

在“策略 → 运行时策略 → 容器运行时配置文件”下，单击现有容器运行时配置文件列表中的配置文件名称。
在打开的窗口中，更改以下一项或多项设置的值：
- 运行时配置文件的名称。
- 运行时配置文件的描述。
- 限制容器可执行文件。
- 限制入站网络连接。
- 限制出站网络连接。
单击“保存”。

对运行时配置文件设置所做的更改会立即应用于正在运行的容器并影响其操作。

页首

删除运行时配置文件

要删除容器运行时配置文件：

在“策略 → 运行时策略 → 镜像配置文件”下的已配置运行时配置文件表中，单击包含要删除的配置文件名称的行中的删除图标 ()。
在打开的窗口中，确认操作。

页首

目录

管理容器运行时配置文件

创建运行时配置文件

配置的运行时配置文件示例

更改运行时配置文件设置

删除运行时配置文件