下表列出了应用程序最常使用的一些镜像,以及在运行时配置文件中为其配置的限制设置。
镜像以及配置的设置
|
镜像名称
|
限制容器可执行模块
|
限制网络连接
|
|
Nginx
|
允许的可执行文件:
/usr/sbin/nginx
|
阻止出站连接
|
|
Mysql
|
允许的可执行文件:
/usr/bin/awk
/bin/sleep
/usr/bin/mawk
/bin/mkdir
/usr/bin/mysql
/bin/chown
/usr/bin/mysql_tzinfo_to_sql
/bin/bash
/bin/sed
/usr/sbin/mysqld
|
阻止出站连接
|
|
Wordpress
|
允许的可执行文件:
/bin/dash
/usr/bin/mawk
/usr/bin/cut
/bin/bash
/usr/local/bin/php
/usr/bin/head
/usr/bin/sha1sum
/bin/tar
/bin/sed
/bin/rm
/usr/bin/awk
/bin/sh
/usr/sbin/apache2
/bin/chown
/usr/local/bin/apache2-foreground
/bin/ls
/bin/cat
|
|
|
节点
|
允许的可执行文件:
/usr/local/bin/node
|
阻止出站连接
|
|
MongoDB
|
允许的可执行文件:
/bin/chown
/usr/local/bin/gosu
/usr/bin/mongod
/usr/bin/mongos
/usr/bin/mongo
/usr/bin/id
/bin/bash
/usr/bin/numactl
/bin/dash
/bin/sh
|
|
|
HAProxy
|
允许的可执行文件:
/bin/dash
/usr/bin/which
/usr/local/sbin/haproxy
/bin/busyboxal/sbin/haproxy-systemd-wrapper
/usr/loc
|
|
|
Hipache
|
允许的可执行文件:
/usr/bin/python2.7
/usr/bin/nodejs
/usr/bin/redis-server
/bin/dash
/usr/local/bin/hipache
|
|
|
Drupal
|
允许的可执行文件:
/bin/bash
/bin/rm
/usr/sbin/apache2
|
|
|
Redis
|
允许的可执行文件:
/bin/bash
/bin/chown
/usr/local/bin/gosu
/usr/bin/id
/usr/local/bin/redis-server
/bin/sh
/bin/dash
/sbin/redis-cli
/bin/redis-cli
/usr/sbin/redis-cli
/usr/bin/redis-cli
/usr/local/sbin/redis-cli
/usr/local/bin/redis-cli
/bin/busybox
|
阻止出站连接
|
|
Tomcat
|
允许的可执行文件:
/usr/bin/tty
/bin/uname
/usr/bin/dirname
/usr/lib/jvm/java-7-openjdk-amd64/jre/bin/java
/bin/dash
/usr/lib/jvm/java-8-openjdk-amd64/jre/bin/java
|
阻止出站连接
|
|
Celery
|
允许的可执行文件:
/bin/dash
/sbin/ldconfig
/bin/uname
/usr/local/bin/python3.4
/bin/sh
|
|
文章 ID: 265052, 上次审阅: 2025年5月20日