Docker Hardening: 16 Container richtig absichern

Das Problem

Docker Container laufen standardmäßig mit zu vielen Rechten. Ein kompromittierter Container kann auf den Host zugreifen, andere Container stören oder Ressourcen monopolisieren. Das muss nicht sein.

Unsere Hardening-Checkliste

no-new-privileges: Verhindert Privilege Escalation innerhalb des Containers. Pflicht für jeden Container.

mem_limit: Festes RAM-Limit pro Container. Verhindert OOM-Kills und unkontrolliertes Wachstum. Wir setzen 64 MB bis 10 GB je nach Service.

pids_limit: Begrenzt die Anzahl der Prozesse. Schützt vor Fork-Bombs. 64 bis 512 je nach Bedarf.

cap_drop: ALL: Entfernt alle Linux Capabilities. Nur die tatsächlich benötigten werden explizit hinzugefügt.

Log-Rotation: max-size 5-10m, max-file 3. Verhindert Festplatte volllaufen.

Ergebnis

16/16 Container gehärtet. Wazuh Docker Listener überwacht alle Container in Echtzeit. Jede Abweichung wird gemeldet.