启用 --read-only 模式可将容器根文件系统设为只读,防止运行时写入,提升安全性;需配合 --tmpfs 或 -v 挂载临时或持久化存储以支持必要写操作。
在运行 Docker 容器时,使用 --read-only 选项是一种简单而有效的安全加固手段。它能防止容器在运行过程中对文件系统进行写入操作,从而降低因应用漏洞或恶意行为导致的数据篡改或持久化攻击风险。
什么是 --read-only 模式?
启用 --read-only 后,Docker 会将容器的根文件系统挂载为只读。这意味着容器内的进程无法修改已有的文件、创建新文件或删除内容(除非显式挂载了可写目录)。
这个机制特别适合那些不需要持久写入本地磁盘的应用,比如静态 Web 服务、API 前端或数据处理工具。
如何启用 --read-only 模式
启动容器时,只需添加 --read-only 参数即可:
docker run -d --read-only nginx这样启动的 Nginx 容器,其整个根目录(如 /usr、/bin、/etc 等)都不可写。
但要注意:很多应用需要写临时数据,例如日志、缓存或会话文件。因此通常还需配合可写挂载点使用。
允许必要的写入操作:使用临时文件系统
为了在只读容器中支持必要写入,可以通过 --tmpfs 或 -v 挂载方式提供可写层:
- --tmpfs /tmp:将内存中的 tmpfs 挂载到 /tmp,用于临时文件
- --tmpfs /var/log:允许应用写日志
- --tmpfs /var/run:常用于守护进程的运行时状态文件
完整示例:
docker run -d \ --read-only \ --tmpfs /tmp \ --tmpfs /var/log \ --tmpfs /var/run \ nginx这种方式既保证了系统文件不被篡改,又满足了运行时需求。
结合 volume 实现持久化写入(按需)
如果需要持久化存储(如上传文件、数据库等),应通过 -v 显式挂载宿主机目录或命名卷:
docker run -d \ --read-only \ -v /host/uploads:/app/uploads \ my-web-app只有 /app/uploads 可写,其余路径仍受保护。
这种最小权限原则能有效限制潜在攻击面。
基本上就这些。使用 --read-only 是提升容器安全性的低成本高收益实践,配合 tmpfs 和 volume 控制写入位置,既能保障安全性,又不影响功能。
