Dev Guides Hub

Appearance

Docker Security Basics 🛡ī¸ ​

āĻ•āĻ¨ā§āĻŸā§‡āĻ‡āĻ¨āĻžāĻ°āĻžāĻ‡āĻœā§‡āĻļāĻ¨ā§‡āĻ° āĻ¯ā§āĻ—ā§‡ āĻ…ā§āĻ¯āĻžāĻĒā§āĻ˛āĻŋāĻ•ā§‡āĻļāĻ¨ āĻ¸āĻŋāĻ•āĻŋāĻ‰āĻ°āĻŋāĻŸāĻŋ āĻ¨āĻŋāĻļā§āĻšāĻŋāĻ¤ āĻ•āĻ°āĻž āĻ…āĻ¤ā§āĻ¯āĻ¨ā§āĻ¤ āĻ—ā§āĻ°ā§āĻ¤ā§āĻŦāĻĒā§‚āĻ°ā§āĻŖāĨ¤ āĻĄāĻ•āĻžāĻ° āĻ•āĻ¨ā§āĻŸā§‡āĻ‡āĻ¨āĻžāĻ° āĻĄāĻŋāĻĢāĻ˛ā§āĻŸāĻ­āĻžāĻŦā§‡ āĻ•āĻŋāĻ›ā§āĻŸāĻž āĻ†āĻ‡āĻ¸ā§‹āĻ˛ā§‡āĻŸā§‡āĻĄ āĻĨāĻžāĻ•āĻ˛ā§‡āĻ“, āĻĒā§‚āĻ°ā§āĻŖ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻ¨āĻŋāĻļā§āĻšāĻŋāĻ¤ āĻ•āĻ°āĻ¤ā§‡ āĻ•āĻŋāĻ›ā§ āĻŦā§‡āĻ¸āĻŋāĻ• āĻ¸āĻŋāĻ•āĻŋāĻ‰āĻ°āĻŋāĻŸāĻŋ āĻŽā§‡āĻœāĻžāĻ°āĻ¸ (Security Measures) āĻ¨ā§‡āĻ“ā§ŸāĻž āĻĒā§āĻ°ā§Ÿā§‹āĻœāĻ¨āĨ¤

ā§§. āĻ°ā§āĻŸ āĻ‡āĻ‰āĻœāĻžāĻ° āĻā§œāĻŋā§Ÿā§‡ āĻšāĻ˛āĻž (Run as Non-Root) ​

āĻĄāĻ•āĻžāĻ° āĻ•āĻ¨ā§āĻŸā§‡āĻ‡āĻ¨āĻžāĻ° āĻĄāĻŋāĻĢāĻ˛ā§āĻŸāĻ­āĻžāĻŦā§‡ āĻ°ā§āĻŸ (Root) āĻ‡āĻ‰āĻœāĻžāĻ° āĻšāĻŋāĻ¸ā§‡āĻŦā§‡ āĻ°āĻžāĻ¨ āĻ•āĻ°ā§‡āĨ¤ āĻ¯āĻĻāĻŋ āĻ•ā§‹āĻ¨ā§‹ āĻšā§āĻ¯āĻžāĻ•āĻžāĻ° āĻ•āĻ¨ā§āĻŸā§‡āĻ‡āĻ¨āĻžāĻ°ā§‡āĻ° āĻ¨āĻŋā§ŸāĻ¨ā§āĻ¤ā§āĻ°āĻŖ āĻĒāĻžā§Ÿ, āĻ¤āĻŦā§‡ āĻ¸ā§‡ āĻĒā§āĻ°ā§‹ āĻšā§‹āĻ¸ā§āĻŸ āĻ¸āĻŋāĻ¸ā§āĻŸā§‡āĻŽā§‡āĻ° āĻāĻ•ā§āĻ¸ā§‡āĻ¸ āĻĒā§‡ā§Ÿā§‡ āĻ¯ā§‡āĻ¤ā§‡ āĻĒāĻžāĻ°ā§‡āĨ¤

  • āĻ¸āĻŽāĻžāĻ§āĻžāĻ¨: Dockerfile-āĻ āĻāĻ•āĻŸāĻŋ āĻ¨āĻ¨-āĻ°ā§āĻŸ āĻ‡āĻ‰āĻœāĻžāĻ° āĻ¤ā§ˆāĻ°āĻŋ āĻ•āĻ°ā§āĻ¨ āĻāĻŦāĻ‚ āĻ¸ā§‡āĻŸāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§āĻ¨āĨ¤
dockerfile
RUN addgroup -S appgroup && adduser -S appuser -G appgroup
USER appuser

ā§¨. āĻ°āĻŋāĻĄ-āĻ…āĻ¨āĻ˛āĻŋ āĻĢāĻžāĻ‡āĻ˛ āĻ¸āĻŋāĻ¸ā§āĻŸā§‡āĻŽ (Read-Only File System) ​

āĻ•āĻ¨ā§āĻŸā§‡āĻ‡āĻ¨āĻžāĻ°ā§‡āĻ° āĻ°āĻžāĻ¨āĻŸāĻžāĻ‡āĻŽā§‡ āĻ¯āĻĻāĻŋ āĻĢāĻžāĻ‡āĻ˛ āĻ¸āĻŋāĻ¸ā§āĻŸā§‡āĻŽā§‡ āĻ•āĻŋāĻ›ā§ āĻ˛ā§‡āĻ–āĻžāĻ° āĻĒā§āĻ°ā§Ÿā§‹āĻœāĻ¨ āĻ¨āĻž āĻĨāĻžāĻ•ā§‡, āĻ¤āĻŦā§‡ āĻ¸ā§‡āĻŸāĻŋāĻ•ā§‡ āĻ°āĻŋāĻĄ-āĻ…āĻ¨āĻ˛āĻŋ āĻšāĻŋāĻ¸ā§‡āĻŦā§‡ āĻ¸ā§‡āĻŸ āĻ•āĻ°ā§‡ āĻĻā§‡āĻ“ā§ŸāĻž āĻ¸āĻŦāĻšā§‡ā§Ÿā§‡ āĻ¨āĻŋāĻ°āĻžāĻĒāĻĻāĨ¤ āĻāĻ¤ā§‡ āĻšā§āĻ¯āĻžāĻ•āĻžāĻ°āĻ°āĻž āĻ•āĻ¨ā§āĻŸā§‡āĻ‡āĻ¨āĻžāĻ°ā§‡āĻ° āĻ­ā§‡āĻ¤āĻ°ā§‡ āĻ•ā§‹āĻ¨ā§‹ āĻ•ā§āĻˇāĻ¤āĻŋāĻ•āĻ° āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ āĻ¸ā§‡āĻ­ āĻ•āĻ°āĻ¤ā§‡ āĻĒāĻžāĻ°āĻŦā§‡ āĻ¨āĻžāĨ¤

bash
docker run --read-only my-image

ā§Š. āĻ•ā§āĻ¯āĻžāĻĒāĻžāĻŦāĻŋāĻ˛āĻŋāĻŸāĻŋāĻœ āĻ•āĻŽāĻžāĻ¨ā§‹ (Drop Capabilities) ​

āĻĄāĻ•āĻžāĻ° āĻ•āĻ¨ā§āĻŸā§‡āĻ‡āĻ¨āĻžāĻ°āĻ•ā§‡ āĻĄāĻŋāĻĢāĻ˛ā§āĻŸāĻ­āĻžāĻŦā§‡ āĻ•āĻŋāĻ›ā§ āĻ˛āĻŋāĻ¨āĻžāĻ•ā§āĻ¸ āĻ•ā§āĻ¯āĻžāĻĒāĻžāĻŦāĻŋāĻ˛āĻŋāĻŸāĻŋāĻœ (Capabilities) āĻĻā§‡āĻ“ā§ŸāĻž āĻšā§Ÿ āĻ¯āĻž āĻšā§ŸāĻ¤ā§‹ āĻ†āĻĒāĻ¨āĻžāĻ° āĻ…ā§āĻ¯āĻžāĻĒā§‡āĻ° āĻĒā§āĻ°ā§Ÿā§‹āĻœāĻ¨ āĻ¨ā§‡āĻ‡āĨ¤ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻžāĻ° āĻœāĻ¨ā§āĻ¯ āĻ…āĻĒā§āĻ°ā§Ÿā§‹āĻœāĻ¨ā§€āĻ¯āĻŧ āĻ¸āĻŦ āĻ•ā§āĻ¯āĻžāĻĒāĻžāĻŦāĻŋāĻ˛āĻŋāĻŸāĻŋāĻœ āĻĄā§āĻ°āĻĒ āĻ•āĻ°ā§‡ āĻĻāĻŋāĻ¨āĨ¤

bash
docker run --cap-drop=ALL --cap-add=NET_BIND_SERVICE my-image

ā§Ē. āĻ¸āĻŋāĻ•āĻŋāĻ‰āĻ°āĻŋāĻŸāĻŋ āĻ¸ā§āĻ•ā§āĻ¯āĻžāĻ¨āĻŋāĻ‚ (Security Scanning) ​

āĻ‡āĻŽā§‡āĻœ āĻ¤ā§ˆāĻ°āĻŋ āĻ•āĻ°āĻžāĻ° āĻĒāĻ° āĻ¸ā§‡āĻŸāĻŋāĻ¤ā§‡ āĻ•ā§‹āĻ¨ā§‹ āĻĒāĻ°āĻŋāĻšāĻŋāĻ¤ āĻ¸āĻŋāĻ•āĻŋāĻ‰āĻ°āĻŋāĻŸāĻŋ āĻšā§‹āĻ˛ (Vulnerability) āĻ†āĻ›ā§‡ āĻ•āĻŋāĻ¨āĻž āĻ¤āĻž āĻ¨āĻŋā§ŸāĻŽāĻŋāĻ¤ āĻ¸ā§āĻ•ā§āĻ¯āĻžāĻ¨ āĻ•āĻ°ā§āĻ¨āĨ¤

  • Docker Scout: āĻĄāĻ•āĻžāĻ°ā§‡āĻ° āĻ¨āĻŋāĻœāĻ¸ā§āĻŦ āĻ¸ā§āĻ•ā§āĻ¯āĻžāĻ¨āĻŋāĻ‚ āĻŸā§āĻ˛āĨ¤
  • Trivy: āĻāĻ•āĻŸāĻŋ āĻœāĻ¨āĻĒā§āĻ°āĻŋā§Ÿ āĻ“āĻĒā§‡āĻ¨ āĻ¸ā§‹āĻ°ā§āĻ¸ āĻ‡āĻŽā§‡āĻœ āĻ¸ā§āĻ•ā§āĻ¯āĻžāĻ¨āĻžāĻ°āĨ¤
bash
docker scout cves my-image:latest

ā§Ģ. āĻĄāĻ•āĻžāĻ° āĻ•āĻ¨ā§āĻŸā§‡āĻ¨ā§āĻŸ āĻŸā§āĻ°āĻžāĻ¸ā§āĻŸ (Docker Content Trust) ​

āĻ¸āĻŦāĻ¸āĻŽā§Ÿ āĻ­ā§‡āĻ°āĻŋāĻĢāĻžāĻ‡āĻĄ āĻāĻŦāĻ‚ āĻ…āĻĢāĻŋāĻ¸āĻŋā§ŸāĻžāĻ˛ āĻ‡āĻŽā§‡āĻœ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°āĻžāĻ° āĻšā§‡āĻˇā§āĻŸāĻž āĻ•āĻ°ā§āĻ¨āĨ¤ DOCKER_CONTENT_TRUST=1 āĻ¸ā§‡āĻŸ āĻ•āĻ°āĻ˛ā§‡ āĻĄāĻ•āĻžāĻ° āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻĄāĻŋāĻœāĻŋāĻŸāĻžāĻ˛āĻ˛āĻŋ āĻ¸āĻžāĻ‡āĻ¨ āĻ•āĻ°āĻž āĻ‡āĻŽā§‡āĻœāĻ—ā§āĻ˛ā§‹āĻ‡ āĻ°āĻžāĻ¨ āĻ•āĻ°āĻŦā§‡āĨ¤

ā§Ŧ. āĻ¸āĻŋāĻ•ā§āĻ°ā§‡āĻŸāĻ¸ āĻŽā§āĻ¯āĻžāĻ¨ā§‡āĻœāĻŽā§‡āĻ¨ā§āĻŸ (Secrets Management) ​

āĻĒāĻžāĻ¸āĻ“ā§ŸāĻžāĻ°ā§āĻĄ, āĻāĻĒāĻŋāĻ†āĻ‡ āĻ•āĻŋ (API Key) āĻŦāĻž āĻ¸ā§‡āĻ¨āĻ¸āĻŋāĻŸāĻŋāĻ­ āĻĄā§‡āĻŸāĻž āĻ•āĻ–āĻ¨ā§‹ Dockerfile-āĻāĻ° ENV āĻŦāĻž āĻ¸ā§‹āĻ°ā§āĻ¸ āĻ•ā§‹āĻĄā§‡ āĻ°āĻžāĻ–āĻŦā§‡āĻ¨ āĻ¨āĻžāĨ¤ āĻāĻ° āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤ā§‡ āĻĄāĻ•āĻžāĻ° āĻ¸āĻŋāĻ•ā§āĻ°ā§‡āĻŸāĻ¸ (Docker Secrets) āĻŦāĻž āĻāĻ¨āĻ­āĻžāĻ¯āĻŧāĻ°āĻ¨āĻŽā§‡āĻ¨ā§āĻŸ āĻ­ā§‡āĻ°āĻŋāĻ¯āĻŧā§‡āĻŦāĻ˛ āĻĢāĻžāĻ‡āĻ˛ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§āĻ¨ āĻ¯āĻž āĻ°āĻžāĻ¨āĻŸāĻžāĻ‡āĻŽā§‡ āĻ‡āĻ¨āĻœā§‡āĻ•ā§āĻŸ āĻ•āĻ°āĻž āĻšā§ŸāĨ¤

ā§­. āĻ¨ā§‡āĻŸāĻ“ā§ŸāĻžāĻ°ā§āĻ• āĻ†āĻ‡āĻ¸ā§‹āĻ˛ā§‡āĻļāĻ¨ (Network Isolation) ​

āĻ•āĻ¨ā§āĻŸā§‡āĻ‡āĻ¨āĻžāĻ°āĻ—ā§āĻ˛ā§‹āĻ•ā§‡ āĻĄāĻŋāĻĢāĻ˛ā§āĻŸ āĻŦā§āĻ°āĻŋāĻœ āĻ¨ā§‡āĻŸāĻ“ā§ŸāĻžāĻ°ā§āĻ•ā§‡ āĻ¨āĻž āĻ°ā§‡āĻ–ā§‡ āĻ•āĻžāĻ¸ā§āĻŸāĻŽ āĻ¨ā§‡āĻŸāĻ“ā§ŸāĻžāĻ°ā§āĻ•ā§‡ āĻ°āĻžāĻ–ā§āĻ¨āĨ¤ āĻāĻ¤ā§‡ āĻ…āĻĒā§āĻ°ā§Ÿā§‹āĻœāĻ¨ā§€ā§Ÿ āĻ•āĻ¨ā§āĻŸā§‡āĻ‡āĻ¨āĻžāĻ° āĻāĻ•ā§‡ āĻ…āĻĒāĻ°ā§‡āĻ° āĻ¸āĻžāĻĨā§‡ āĻ¯ā§‹āĻ—āĻžāĻ¯ā§‹āĻ— āĻ•āĻ°āĻ¤ā§‡ āĻĒāĻžāĻ°āĻŦā§‡ āĻ¨āĻž, āĻ¯āĻž āĻ¸āĻŋāĻ•āĻŋāĻ‰āĻ°āĻŋāĻŸāĻŋ āĻŦāĻžā§œāĻžā§ŸāĨ¤

ā§Ž. āĻ°āĻŋāĻ¸ā§‹āĻ°ā§āĻ¸ āĻ˛āĻŋāĻŽāĻŋāĻŸ (Resource Limits) ​

āĻāĻ•āĻŸāĻŋ āĻ•āĻ¨ā§āĻŸā§‡āĻ‡āĻ¨āĻžāĻ° āĻ¯āĻžāĻ¤ā§‡ āĻĒā§āĻ°ā§‹ āĻ¸āĻŋāĻ¸ā§āĻŸā§‡āĻŽā§‡āĻ° āĻŽā§‡āĻŽāĻ°āĻŋ āĻŦāĻž āĻ¸āĻŋāĻĒāĻŋāĻ‡āĻ‰ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡ āĻšā§‹āĻ¸ā§āĻŸ āĻ¸āĻŋāĻ¸ā§āĻŸā§‡āĻŽāĻ•ā§‡ āĻĄāĻžāĻ‰āĻ¨ (DoS attack) āĻ¨āĻž āĻ•āĻ°āĻ¤ā§‡ āĻĒāĻžāĻ°ā§‡, āĻ¸ā§‡āĻœāĻ¨ā§āĻ¯ āĻ°āĻŋāĻ¸ā§‹āĻ°ā§āĻ¸ āĻ˛āĻŋāĻŽāĻŋāĻŸ āĻ¸ā§‡āĻŸ āĻ•āĻ°ā§āĻ¨āĨ¤

bash
docker run --memory="512m" --cpus="1" my-image

āĻ¸āĻžāĻ°āĻ¸āĻ‚āĻ•ā§āĻˇā§‡āĻĒ (Summary) ​

āĻ¸āĻŋāĻ•āĻŋāĻ‰āĻ°āĻŋāĻŸāĻŋ āĻ•ā§‹āĻ¨ā§‹ āĻāĻ•āĻŸāĻŋ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻŸ āĻ¸ā§āĻŸā§‡āĻĒ āĻ¨ā§Ÿ, āĻāĻŸāĻŋ āĻāĻ•āĻŸāĻŋ āĻ•āĻ¨ā§āĻŸāĻŋāĻ¨āĻŋāĻ‰āĻ¯āĻŧāĻžāĻ¸ āĻĒā§āĻ°āĻ¸ā§‡āĻ¸āĨ¤ āĻ†āĻĒāĻ¨āĻžāĻ° Docker-āĻ­āĻŋāĻ¤ā§āĻ¤āĻŋāĻ• āĻ…ā§āĻ¯āĻžāĻĒā§āĻ˛āĻŋāĻ•ā§‡āĻļāĻ¨ā§‡āĻ° āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻ¨āĻŋāĻļā§āĻšāĻŋāĻ¤ āĻ•āĻ°āĻ¤ā§‡ āĻ‰āĻĒāĻ°ā§‡āĻ° āĻ§āĻžāĻĒāĻ—ā§āĻ˛ā§‹ āĻĒā§āĻ°ā§‹āĻĄāĻžāĻ•āĻļāĻ¨ā§‡ āĻ…āĻŦāĻļā§āĻ¯āĻ‡ āĻŽā§‡āĻ¨ā§‡ āĻšāĻ˛ā§āĻ¨āĨ¤

CAUTION

āĻ¸āĻŋāĻ•āĻŋāĻ‰āĻ°āĻŋāĻŸāĻŋ āĻ…āĻŦāĻšā§‡āĻ˛āĻž āĻ•āĻ°āĻ˛ā§‡ āĻ†āĻĒāĻ¨āĻžāĻ° āĻĒā§āĻ°ā§‹ āĻ‡āĻ¨āĻĢā§āĻ°āĻžāĻ¸ā§āĻŸā§āĻ°āĻžāĻ•āĻšāĻžāĻ° āĻā§āĻāĻ•āĻŋāĻ° āĻŽā§āĻ–ā§‡ āĻĒā§œāĻ¤ā§‡ āĻĒāĻžāĻ°ā§‡āĨ¤ āĻ¸āĻŦāĻ¸āĻŽā§Ÿ "Principle of Least Privilege" āĻŽā§‡āĻ¨ā§‡ āĻšāĻ˛ā§āĻ¨āĨ¤

Released under the MIT License.

Copyright Š 2026-present Md. Ripon Mia