{"id":1344,"date":"2024-07-23T12:36:42","date_gmt":"2024-07-23T12:36:42","guid":{"rendered":"https:\/\/dockerpros.com\/?post_type=glossary&#038;p=1344"},"modified":"2024-07-23T12:36:42","modified_gmt":"2024-07-23T12:36:42","slug":"dockerfile-security-opt","status":"publish","type":"glossary","link":"https:\/\/dockerpros.com\/de\/wiki\/dockerfile-security-opt\/","title":{"rendered":"Dockerfile \u2013security-opt\n\nIn einer Dockerfile k\u00f6nnen Sie die Option `--security-opt` verwenden, um Sicherheitseinstellungen f\u00fcr den Container festzulegen. Diese Option erm\u00f6glicht es Ihnen, verschiedene Sicherheitsparameter zu konfigurieren, die das Verhalten des Containers beeinflussen.\n\nHier sind einige Beispiele f\u00fcr die Verwendung von `--security-opt` in einer Dockerfile:\n\n1. **Seccomp-Profil festlegen:**\n   ```dockerfile\n   FROM ubuntu:latest\n   RUN echo \"Seccomp-Profil wird festgelegt\"\n   SECURITY OPT seccomp=unconfined\n   ```\n\n2. **AppArmor-Profil festlegen:**\n   ```dockerfile\n   FROM ubuntu:latest\n   RUN echo \"AppArmor-Profil wird festgelegt\"\n   SECURITY OPT apparmor=docker-default\n   ```\n\n3. **Capabilities einschr\u00e4nken:**\n   ```dockerfile\n   FROM ubuntu:latest\n   RUN echo \"Capabilities werden eingeschr\u00e4nkt\"\n   SECURITY OPT no-new-privileges:true\n   ```\n\n4. **Read-Only Root Filesystem:**\n   ```dockerfile\n   FROM ubuntu:latest\n   RUN echo \"Read-Only Root Filesystem wird aktiviert\"\n   SECURITY OPT ro-rootfs:true\n   ```\n\n5. **Seccomp und AppArmor kombinieren:**\n   ```dockerfile\n   FROM ubuntu:latest\n   RUN echo \"Seccomp und AppArmor werden kombiniert\"\n   SECURITY OPT seccomp=unconfined\n   SECURITY OPT apparmor=docker-default\n   ```\n\nDiese Beispiele zeigen, wie Sie die `--security-opt` Option in einer Dockerfile verwenden k\u00f6nnen, um die Sicherheitseinstellungen f\u00fcr Ihren Container zu konfigurieren. Beachten Sie, dass die genauen Optionen und deren Syntax je nach Docker-Version und Betriebssystem variieren k\u00f6nnen."},"content":{"rendered":"<h2>Understanding Docker\u2019s \u2013security-opt: An In-Depth Guide<\/h2>\n<p>Docker, eine beliebte Plattform f\u00fcr die Entwicklung, den Versand und die Ausf\u00fchrung von Anwendungen in Containern, bietet verschiedene Mechanismen zur Verwaltung der Sicherheit. Eine der leistungsst\u00e4rksten, aber oft untergenutzten Funktionen im Docker-\u00d6kosystem ist die <code>--security-opt<\/code> Option. Diese Option erm\u00f6glicht es Entwicklern, verschiedene sicherheitsrelevante Konfigurationen beim Erstellen und Ausf\u00fchren von Containern festzulegen, was letztendlich ihre Sicherheitslage verbessert. In diesem Artikel werden wir dies erkunden. <code>--security-opt<\/code> Option im Detail, ihre verschiedenen F\u00e4higkeiten, praktische Anwendungsf\u00e4lle und bew\u00e4hrte Verfahren zur Gew\u00e4hrleistung einer sicheren Containerisierung.<\/p>\n<h2>The Importance of Container Security<\/h2>\n<p>Before diving into the specifics of <code>--security-opt<\/code>, it\u2019s vital to understand the significance of security within the containerized environment. Containers offer a lightweight and efficient way to deploy applications, but they can also introduce potential vulnerabilities. As containers share the host OS kernel and resources, a compromised <span class=\"glossaryai-tooltip glossary-term-650\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\" target=\"_blank\">Beh\u00e4lter<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">Containers are lightweight, portable units that encapsulate software and its dependencies, enabling consistent execution across different environments. They leverage OS-level virtualization for efficiency.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> kann zu umfassenderen Sicherheitsimplikationen f\u00fcr den Host und andere auf ihm laufende Container f\u00fchren.<\/p>\n<p>Security should be a fundamental aspect of any <span class=\"glossaryai-tooltip glossary-term-650\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\" target=\"_blank\">Beh\u00e4lter<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">Containers are lightweight, portable units that encapsulate software and its dependencies, enabling consistent execution across different environments. They leverage OS-level virtualization for efficiency.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> <span class=\"glossaryai-tooltip glossary-term-657\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/orchestration\/\" target=\"_blank\">Orchestrierung<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">Orchestrierung bezieht sich auf die automatisierte Verwaltung und Koordination komplexer Systeme und Dienstleistungen. Sie optimiert Prozesse durch die Integration verschiedener Komponenten und gew\u00e4hrleistet so einen effizienten Betrieb und eine optimale Ressourcennutzung.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/orchestration\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> strategy. Docker provides several features, including user namespaces, seccomp profiles, AppArmor, and SELinux, that can be configured through the <code>--security-opt<\/code> flag. These tools work together to create a more secure environment for your applications.<\/p>\n<h2>The Basics of the \u2013security-opt Flag<\/h2>\n<p>Die <code>--security-opt<\/code> flag is used during Docker <span class=\"glossaryai-tooltip glossary-term-650\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\" target=\"_blank\">Beh\u00e4lter<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">Containers are lightweight, portable units that encapsulate software and its dependencies, enabling consistent execution across different environments. They leverage OS-level virtualization for efficiency.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> creation (with the <code>docker <span class=\"glossaryai-tooltip glossary-term-672\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/run\/\" target=\"_blank\">laufen<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">\"RUN\" bezeichnet einen Befehl in verschiedenen Programmiersprachen und Betriebssystemen, um ein angegebenes Programm oder Skript auszuf\u00fchren. Er initiiert Prozesse und stellt eine kontrollierte Ausf\u00fchrungsumgebung f\u00fcr die Aufgabenbereitstellung bereit.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/run\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span><\/code> command) to provide security options. This flag can accept various options, each tailored to enhance the security of the <span class=\"glossaryai-tooltip glossary-term-650\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\" target=\"_blank\">Beh\u00e4lter<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">Containers are lightweight, portable units that encapsulate software and its dependencies, enabling consistent execution across different environments. They leverage OS-level virtualization for efficiency.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span>. Here are some common usages of the <code>--security-opt<\/code> flag:<\/p>\n<ul>\n<li>\n<p><strong>User Namespace<\/strong>: Isolates the user and group ID of the <span class=\"glossaryai-tooltip glossary-term-650\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\" target=\"_blank\">Beh\u00e4lter<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">Containers are lightweight, portable units that encapsulate software and its dependencies, enabling consistent execution across different environments. They leverage OS-level virtualization for efficiency.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> from that of the host.<\/p>\n<\/li>\n<li>\n<p><strong>Seccomp<\/strong>: Configures the seccomp profile, which allows or denies system calls made by the <span class=\"glossaryai-tooltip glossary-term-650\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\" target=\"_blank\">Beh\u00e4lter<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">Containers are lightweight, portable units that encapsulate software and its dependencies, enabling consistent execution across different environments. They leverage OS-level virtualization for efficiency.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span>.<\/p>\n<\/li>\n<li>\n<p><strong>AppArmor<\/strong>: Applies AppArmor profiles for restricting the capabilities of the <span class=\"glossaryai-tooltip glossary-term-650\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\" target=\"_blank\">Beh\u00e4lter<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">Containers are lightweight, portable units that encapsulate software and its dependencies, enabling consistent execution across different environments. They leverage OS-level virtualization for efficiency.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span>.<\/p>\n<\/li>\n<li>\n<p><strong>SELinux<\/strong>: Controls access to resources for the <span class=\"glossaryai-tooltip glossary-term-650\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\" target=\"_blank\">Beh\u00e4lter<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">Containers are lightweight, portable units that encapsulate software and its dependencies, enabling consistent execution across different environments. They leverage OS-level virtualization for efficiency.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> by applying SELinux policies.<\/p>\n<\/li>\n<\/ul>\n<p>The syntax for using the <code>--security-opt<\/code> flag is straightforward:<\/p>\n<pre><code class=\"language-bash\">docker <span class=\"glossaryai-tooltip glossary-term-672\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/run\/\" target=\"_blank\">laufen<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">\"RUN\" bezeichnet einen Befehl in verschiedenen Programmiersprachen und Betriebssystemen, um ein angegebenes Programm oder Skript auszuf\u00fchren. Er initiiert Prozesse und stellt eine kontrollierte Ausf\u00fchrungsumgebung f\u00fcr die Aufgabenbereitstellung bereit.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/run\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> --security-opt : <\/code><\/pre>\n<h2>Wichtige Sicherheitsoptionen erkunden<\/h2>\n<h3>User Namespace<\/h3>\n<p>User namespaces provide an additional layer of security by allowing containers to <span class=\"glossaryai-tooltip glossary-term-672\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/run\/\" target=\"_blank\">laufen<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">\"RUN\" bezeichnet einen Befehl in verschiedenen Programmiersprachen und Betriebssystemen, um ein angegebenes Programm oder Skript auszuf\u00fchren. Er initiiert Prozesse und stellt eine kontrollierte Ausf\u00fchrungsumgebung f\u00fcr die Aufgabenbereitstellung bereit.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/run\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> with a different user and group ID than the host. This isolation is vital for preventing privilege escalation attacks. By default, containers <span class=\"glossaryai-tooltip glossary-term-672\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/run\/\" target=\"_blank\">laufen<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">\"RUN\" bezeichnet einen Befehl in verschiedenen Programmiersprachen und Betriebssystemen, um ein angegebenes Programm oder Skript auszuf\u00fchren. Er initiiert Prozesse und stellt eine kontrollierte Ausf\u00fchrungsumgebung f\u00fcr die Aufgabenbereitstellung bereit.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/run\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> as root, which can pose a significant security risk. By enabling user namespaces, you can map the root user in the <span class=\"glossaryai-tooltip glossary-term-650\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\" target=\"_blank\">Beh\u00e4lter<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">Containers are lightweight, portable units that encapsulate software and its dependencies, enabling consistent execution across different environments. They leverage OS-level virtualization for efficiency.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> to a non-root user on the host.<\/p>\n<p>Um User-Namespaces zu aktivieren, konfigurieren Sie Docker. <span class=\"glossaryai-tooltip glossary-term-667\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/daemon\/\" target=\"_blank\">daemon<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">Ein Daemon ist ein Hintergrundprozess in der Informatik, der autonom l\u00e4uft und Aufgaben ohne Benutzereingriff ausf\u00fchrt. Er \u00fcbernimmt typischerweise Funktionen auf System- oder Anwendungsebene und steigert so die Effizienz.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/daemon\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> by adding the following to the <code>\/etc\/docker\/daemon.json<\/code> file:<\/p>\n<pre><code class=\"language-json\">{\n  \"userns-remap\": \"default\"\n}<\/code><\/pre>\n<p>You can then use the <code>--security-opt<\/code> flag to specify user namespace options during <span class=\"glossaryai-tooltip glossary-term-650\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\" target=\"_blank\">Beh\u00e4lter<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">Containers are lightweight, portable units that encapsulate software and its dependencies, enabling consistent execution across different environments. They leverage OS-level virtualization for efficiency.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> creation:<\/p>\n<pre><code class=\"language-bash\">docker run --security-opt \"userns:host\" <\/code><\/pre>\n<p>This allows the <span class=\"glossaryai-tooltip glossary-term-650\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\" target=\"_blank\">Beh\u00e4lter<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">Containers are lightweight, portable units that encapsulate software and its dependencies, enabling consistent execution across different environments. They leverage OS-level virtualization for efficiency.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> to share the user namespace with the host, providing a balance between security and functionality.<\/p>\n<h3>Seccomp<\/h3>\n<p>Seccomp (Secure Computing Mode) ist eine Linux-Kernelfunktion, die die Systemaufrufe einschr\u00e4nkt, die ein Prozess t\u00e4tigen kann. Standardm\u00e4\u00dfig verwenden Docker-Container ein vordefiniertes Seccomp-Profil, das zahlreiche potenziell ausnutzbare Systemaufrufe blockiert. Allerdings kann das Seccomp-Profil durch Bereitstellung einer eigenen JSON-Datei angepasst werden.<\/p>\n<p>To use a custom seccomp profile, you can <span class=\"glossaryai-tooltip glossary-term-672\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/run\/\" target=\"_blank\">laufen<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">\"RUN\" bezeichnet einen Befehl in verschiedenen Programmiersprachen und Betriebssystemen, um ein angegebenes Programm oder Skript auszuf\u00fchren. Er initiiert Prozesse und stellt eine kontrollierte Ausf\u00fchrungsumgebung f\u00fcr die Aufgabenbereitstellung bereit.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/run\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span>:<\/p>\n<pre><code class=\"language-bash\">docker <span class=\"glossaryai-tooltip glossary-term-672\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/run\/\" target=\"_blank\">laufen<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">\"RUN\" bezeichnet einen Befehl in verschiedenen Programmiersprachen und Betriebssystemen, um ein angegebenes Programm oder Skript auszuf\u00fchren. Er initiiert Prozesse und stellt eine kontrollierte Ausf\u00fchrungsumgebung f\u00fcr die Aufgabenbereitstellung bereit.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/run\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> --security-opt seccomp=\/path\/to\/your\/seccomp-profile.json <\/code><\/pre>\n<p>Die Erstellung eines Seccomp-Profils beinhaltet die Definition von Regeln, welche Systemaufrufe erlaubt oder verweigert werden. Diese F\u00e4higkeit erm\u00f6glicht es Entwicklern, die Sicherheit ihrer Container basierend auf ihren spezifischen Anwendungsf\u00e4llen und Anforderungen fein abzustimmen.<\/p>\n<h3>AppArmor<\/h3>\n<p>AppArmor is another security module for the Linux kernel that restricts the capabilities of applications. AppArmor profiles define what resources, files, and capabilities an application can access. Docker leverages AppArmor to enhance <span class=\"glossaryai-tooltip glossary-term-650\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\" target=\"_blank\">Beh\u00e4lter<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">Containers are lightweight, portable units that encapsulate software and its dependencies, enabling consistent execution across different environments. They leverage OS-level virtualization for efficiency.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> security by allowing developers to specify an AppArmor profile for a given <span class=\"glossaryai-tooltip glossary-term-650\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\" target=\"_blank\">Beh\u00e4lter<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">Containers are lightweight, portable units that encapsulate software and its dependencies, enabling consistent execution across different environments. They leverage OS-level virtualization for efficiency.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span>.<\/p>\n<p>Um AppArmor mit Docker zu verwenden, erstellen Sie ein Profil und speichern es im <code>\/etc\/apparmor.d\/<\/code> directory. Then, you can <span class=\"glossaryai-tooltip glossary-term-672\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/run\/\" target=\"_blank\">laufen<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">\"RUN\" bezeichnet einen Befehl in verschiedenen Programmiersprachen und Betriebssystemen, um ein angegebenes Programm oder Skript auszuf\u00fchren. Er initiiert Prozesse und stellt eine kontrollierte Ausf\u00fchrungsumgebung f\u00fcr die Aufgabenbereitstellung bereit.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/run\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> a <span class=\"glossaryai-tooltip glossary-term-650\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\" target=\"_blank\">Beh\u00e4lter<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">Containers are lightweight, portable units that encapsulate software and its dependencies, enabling consistent execution across different environments. They leverage OS-level virtualization for efficiency.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> with the <code>--security-opt<\/code> flag:<\/p>\n<pre><code class=\"language-bash\">docker <span class=\"glossaryai-tooltip glossary-term-672\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/run\/\" target=\"_blank\">laufen<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">\"RUN\" bezeichnet einen Befehl in verschiedenen Programmiersprachen und Betriebssystemen, um ein angegebenes Programm oder Skript auszuf\u00fchren. Er initiiert Prozesse und stellt eine kontrollierte Ausf\u00fchrungsumgebung f\u00fcr die Aufgabenbereitstellung bereit.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/run\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> --security-opt apparmor= <\/code><\/pre>\n<p>Diese Konfiguration hilft, die Auswirkungen von Schwachstellen innerhalb der containerisierten Anwendung zu verringern, indem der Zugriff auf kritische Ressourcen eingeschr\u00e4nkt wird.<\/p>\n<h3>SELinux<\/h3>\n<p>\u00c4hnlich wie AppArmor ist SELinux (Security-Enhanced Linux) ein Linux-Kernelsicherheitsmodul, das Zugriffskontrollrichtlinien durchsetzt. SELinux-Richtlinien bestimmen, ob ein Prozess basierend auf seinem Kontext auf bestimmte Ressourcen zugreifen kann. Docker unterst\u00fctzt die SELinux-Integration, was Entwicklern erm\u00f6glicht, SELinux-Richtlinien zu erstellen, die auf Container angewendet werden.<\/p>\n<p>To enable SELinux and apply a policy, you might <span class=\"glossaryai-tooltip glossary-term-672\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/run\/\" target=\"_blank\">laufen<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">\"RUN\" bezeichnet einen Befehl in verschiedenen Programmiersprachen und Betriebssystemen, um ein angegebenes Programm oder Skript auszuf\u00fchren. Er initiiert Prozesse und stellt eine kontrollierte Ausf\u00fchrungsumgebung f\u00fcr die Aufgabenbereitstellung bereit.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/run\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span>:<\/p>\n<pre><code class=\"language-bash\">docker <span class=\"glossaryai-tooltip glossary-term-672\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/run\/\" target=\"_blank\">laufen<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">\"RUN\" bezeichnet einen Befehl in verschiedenen Programmiersprachen und Betriebssystemen, um ein angegebenes Programm oder Skript auszuf\u00fchren. Er initiiert Prozesse und stellt eine kontrollierte Ausf\u00fchrungsumgebung f\u00fcr die Aufgabenbereitstellung bereit.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/run\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> --security-opt <span class=\"glossaryai-tooltip glossary-term-678\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/label\/\" target=\"_blank\">Etikett<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">In data management and classification systems, a \"label\" serves as a descriptor that categorizes and identifies items. Labels enhance data organization, facilitate retrieval, and improve understanding within complex datasets.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/label\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span>:Typ: <\/code><\/pre>\n<p>This command assigns a specific SELinux <span class=\"glossaryai-tooltip glossary-term-678\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/label\/\" target=\"_blank\">Etikett<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">In data management and classification systems, a \"label\" serves as a descriptor that categorizes and identifies items. Labels enhance data organization, facilitate retrieval, and improve understanding within complex datasets.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/label\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> zu dem <span class=\"glossaryai-tooltip glossary-term-650\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\" target=\"_blank\">Beh\u00e4lter<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">Containers are lightweight, portable units that encapsulate software and its dependencies, enabling consistent execution across different environments. They leverage OS-level virtualization for efficiency.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span>, which defines its access rights and privileges. Proper configuration of SELinux can significantly enhance the security of Docker containers by minimizing the risk of unauthorized access.<\/p>\n<h2>Practical Use Cases of \u2013security-opt<\/h2>\n<h3>Securing Sensitive Applications<\/h3>\n<p>When deploying sensitive applications, such as databases or financial services, it\u2019s crucial to reduce the attack surface. Using <code>--security-opt<\/code> flags like <code>seccomp<\/code>, <code>AppArmor<\/code>, and <code>SELinux<\/code>, Sie k\u00f6nnen strenge Zugriffskontrollen durchsetzen und die F\u00e4higkeiten der containerisierten Anwendung einschr\u00e4nken. Zum Beispiel k\u00f6nnen Sie mit einem angepassten seccomp-Profil verhindern, dass die Anwendung Systemaufrufe t\u00e4tigt, die f\u00fcr ihren Betrieb nicht erforderlich sind.<\/p>\n<h3>Mandantenf\u00e4hige Umgebungen<\/h3>\n<p>In multi-tenant environments where different teams or users share the same infrastructure, isolating workloads is essential. The <code>--security-opt<\/code> flag can help you achieve this isolation effectively. User namespaces, for instance, provide a way to <span class=\"glossaryai-tooltip glossary-term-672\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/run\/\" target=\"_blank\">laufen<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">\"RUN\" bezeichnet einen Befehl in verschiedenen Programmiersprachen und Betriebssystemen, um ein angegebenes Programm oder Skript auszuf\u00fchren. Er initiiert Prozesse und stellt eine kontrollierte Ausf\u00fchrungsumgebung f\u00fcr die Aufgabenbereitstellung bereit.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/run\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> containers as non-root users, ensuring that even if one tenant&#8217;s <span class=\"glossaryai-tooltip glossary-term-650\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\" target=\"_blank\">Beh\u00e4lter<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">Containers are lightweight, portable units that encapsulate software and its dependencies, enabling consistent execution across different environments. They leverage OS-level virtualization for efficiency.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> is compromised, it cannot escalate privileges to the host. Similarly, using AppArmor or SELinux can help enforce strict boundary policies between tenants.<\/p>\n<h3>Compliance-Anforderungen<\/h3>\n<p>Many industries have strict compliance requirements regarding data protection and application security. By utilizing the <code>--security-opt<\/code> Durch die Nutzung dieser Optionen k\u00f6nnen Organisationen sicherstellen, dass ihre Docker-Container den Compliance-Anforderungen entsprechen. Beispielsweise tragen die Verwendung von SELinux oder AppArmor nicht nur zur Verbesserung der Sicherheit bei, sondern helfen auch dabei, regulatorische Anforderungen wie PCI DSS oder HIPAA zu erf\u00fcllen.<\/p>\n<h2>Best Practices for Using \u2013security-opt<\/h2>\n<ol>\n<li>\n<p><strong>Immer das Prinzip der geringsten Rechte anwenden.<\/strong>: When configuring security options, adopt the principle of least privilege. Only grant the necessary permissions and capabilities for your containers to function.<\/p>\n<\/li>\n<li>\n<p><strong>Customize Seccomp Profiles<\/strong>Passen Sie Ihre Seccomp-Profile an die Anforderungen Ihrer Anwendung an. Beginnen Sie mit dem Standardprofil und passen Sie es bei Bedarf an, indem Sie unn\u00f6tige Systemaufrufe entfernen.<\/p>\n<\/li>\n<li>\n<p><strong>Sicherheitskonfigurationen testen<\/strong>Bevor Container mit benutzerdefinierten Sicherheitseinstellungen in der Produktion eingesetzt werden, sollten sie gr\u00fcndlich in einer Entwicklungs- oder Staging-Umgebung getestet werden.<\/p>\n<\/li>\n<li>\n<p><strong>\u00c4nderungen \u00fcberwachen<\/strong>Behalten Sie alle \u00c4nderungen an Ihren Sicherheitskonfigurationen im Auge. Verwenden Sie Protokollierungs- und \u00dcberwachungstools, um ungew\u00f6hnliche Verhaltensweisen zu erkennen, die auf einen Sicherheitsvorfall hindeuten k\u00f6nnten.<\/p>\n<\/li>\n<li>\n<p><strong>Regularly Review and Update Policies<\/strong>Sicherheitsrichtlinien sollten nicht statisch sein. \u00dcberpr\u00fcfen und aktualisieren Sie sie regelm\u00e4\u00dfig, wenn neue Sicherheitsl\u00fccken entdeckt werden und w\u00e4hrend sich Ihre Anwendung weiterentwickelt.<\/p>\n<\/li>\n<li>\n<p><strong>Schulen Sie Ihr Team<\/strong>: Ensure that your development and operations teams are well-versed in <span class=\"glossaryai-tooltip glossary-term-650\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\" target=\"_blank\">Beh\u00e4lter<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">Containers are lightweight, portable units that encapsulate software and its dependencies, enabling consistent execution across different environments. They leverage OS-level virtualization for efficiency.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> security best practices, including the use of <code>--security-opt<\/code>.<\/p>\n<\/li>\n<li>\n<p><strong>Use Trusted Images<\/strong>: Always pull images from trusted sources. Vulnerabilities in base images can compromise your <span class=\"glossaryai-tooltip glossary-term-650\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\" target=\"_blank\">Beh\u00e4lter<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">Containers are lightweight, portable units that encapsulate software and its dependencies, enabling consistent execution across different environments. They leverage OS-level virtualization for efficiency.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> security, making it essential to verify their integrity and security posture.<\/p>\n<\/li>\n<li>\n<p><strong>Limit Capabilities<\/strong>: Use the <code>--cap-drop<\/code> flag to drop unnecessary capabilities from your containers. This minimizes the actions they can perform, reducing potential attack vectors.<\/p>\n<\/li>\n<li>\n<p><strong>Engage in Regular Security Audits<\/strong>: Conduct regular security audits of your <span class=\"glossaryai-tooltip glossary-term-650\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\" target=\"_blank\">Beh\u00e4lter<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">Containers are lightweight, portable units that encapsulate software and its dependencies, enabling consistent execution across different environments. They leverage OS-level virtualization for efficiency.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/container\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> images and configurations to identify and mitigate any potential risks.<\/p>\n<\/li>\n<\/ol>\n<h2>Fazit<\/h2>\n<p>Die <code>--security-opt<\/code> flag in Docker is a powerful tool that enables developers and operators to define and enforce security policies for their containers. By utilizing the various options available, such as user namespaces, seccomp profiles, AppArmor, and SELinux, organizations can significantly enhance the security of their containerized applications. As containerization continues to grow in popularity, understanding and effectively implementing security best practices becomes imperative. With the right configurations and a proactive approach, you can safeguard your applications and maintain a robust security posture in your containerized environments.<\/p>","protected":false},"excerpt":{"rendered":"<p>Die `\u2013security-opt`-Option in einem <span class=\"glossaryai-tooltip glossary-term-652\"><span class=\"glossaryai-link\"><a href=\"https:\/\/dockerpros.com\/de\/wiki\/dockerfile\/\" target=\"_blank\">Dockerfile<\/a><\/span><span class=\"gai-content-hidden glossaryai-tooltip-content\"><span class=\"gai-tooltip-body\"><span class=\"glossaryai-tooltip-text\">Eine Dockerfile ist ein Skript, das eine Reihe von Anweisungen zur Automatisierung der Erstellung von Docker-Images enth\u00e4lt. Sie gibt das Basis-Image, die Anwendungsabh\u00e4ngigkeiten und die Konfiguration an und erm\u00f6glicht so eine konsistente Bereitstellung \u00fcber verschiedene Umgebungen hinweg.<span class=\"glossaryai-more-link\"> <a href=\"https:\/\/dockerpros.com\/de\/wiki\/dockerfile\/\">More \u00bb<\/a><\/span><\/span><\/span><\/span><\/span> erm\u00f6glicht es Benutzern, Sicherheitsoptionen f\u00fcr Container festzulegen und verbessert so Isolation und Kontrolle. Es unterst\u00fctzt Funktionen wie AppArmor, SELinux und seccomp-Konfigurationen.<\/p>","protected":false},"author":1,"featured_media":2001,"parent":0,"template":"","glossary-cat":[],"class_list":["post-1344","glossary","type-glossary","status-publish","has-post-thumbnail","hentry"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.0 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Dockerfile -security-opt - Dockerpros<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/dockerpros.com\/de\/wiki\/dockerfile-security-opt\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Dockerfile -security-opt - Dockerpros\" \/>\n<meta property=\"og:description\" content=\"The `--security-opt` flag in a Dockerfile allows users to specify security options for containers, enhancing isolation and control. It supports features like AppArmor, SELinux, and seccomp configurations.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/dockerpros.com\/de\/wiki\/dockerfile-security-opt\/\" \/>\n<meta property=\"og:site_name\" content=\"Dockerpros\" \/>\n<meta property=\"og:image\" content=\"https:\/\/dockerpros.com\/wp-content\/uploads\/2024\/07\/dockerfile-security-opt_1344.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"800\" \/>\n\t<meta property=\"og:image:height\" content=\"600\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data1\" content=\"6\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/dockerpros.com\/wiki\/dockerfile-security-opt\/\",\"url\":\"https:\/\/dockerpros.com\/wiki\/dockerfile-security-opt\/\",\"name\":\"Dockerfile -security-opt - Dockerpros\",\"isPartOf\":{\"@id\":\"https:\/\/dockerpros.com\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/dockerpros.com\/wiki\/dockerfile-security-opt\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/dockerpros.com\/wiki\/dockerfile-security-opt\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/dockerpros.com\/wp-content\/uploads\/2024\/07\/dockerfile-security-opt_1344.jpg\",\"datePublished\":\"2024-07-23T12:36:42+00:00\",\"breadcrumb\":{\"@id\":\"https:\/\/dockerpros.com\/wiki\/dockerfile-security-opt\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/dockerpros.com\/wiki\/dockerfile-security-opt\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/dockerpros.com\/wiki\/dockerfile-security-opt\/#primaryimage\",\"url\":\"https:\/\/dockerpros.com\/wp-content\/uploads\/2024\/07\/dockerfile-security-opt_1344.jpg\",\"contentUrl\":\"https:\/\/dockerpros.com\/wp-content\/uploads\/2024\/07\/dockerfile-security-opt_1344.jpg\",\"width\":800,\"height\":600,\"caption\":\"dockerfile-security-opt-2\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/dockerpros.com\/wiki\/dockerfile-security-opt\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/dockerpros.com\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Glossary\",\"item\":\"https:\/\/dockerpros.com\/fr\/wiki\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Dockerfile &#8211;security-opt\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/dockerpros.com\/#website\",\"url\":\"https:\/\/dockerpros.com\/\",\"name\":\"Dockerpros\",\"description\":\"DockerPros \u2013 Your Ultimate Docker Resource Hub\",\"publisher\":{\"@id\":\"https:\/\/dockerpros.com\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/dockerpros.com\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/dockerpros.com\/#organization\",\"name\":\"Dockerpros\",\"url\":\"https:\/\/dockerpros.com\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/dockerpros.com\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/dockerpros.com\/wp-content\/uploads\/2024\/07\/Dockerpros_logo_blanco.png\",\"contentUrl\":\"https:\/\/dockerpros.com\/wp-content\/uploads\/2024\/07\/Dockerpros_logo_blanco.png\",\"width\":532,\"height\":114,\"caption\":\"Dockerpros\"},\"image\":{\"@id\":\"https:\/\/dockerpros.com\/#\/schema\/logo\/image\/\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Dockerfile -security-opt - Dockerpros\n\nIn diesem Artikel werden wir uns mit dem Sicherheitsoption \"security-opt\" in Docker befassen. Diese Option erm\u00f6glicht es uns, zus\u00e4tzliche Sicherheitseinstellungen f\u00fcr unsere Docker-Container zu konfigurieren. Wir werden verschiedene Beispiele durchgehen, um zu verstehen, wie wir diese Option effektiv nutzen k\u00f6nnen.\n\n1. Einf\u00fchrung in security-opt\n\nDie security-opt-Option in Docker erm\u00f6glicht es uns, zus\u00e4tzliche Sicherheitseinstellungen f\u00fcr unsere Container zu konfigurieren. Diese Einstellungen k\u00f6nnen auf verschiedene Weise angewendet werden, um die Sicherheit unserer Container zu erh\u00f6hen.\n\n2. Beispiele f\u00fcr die Verwendung von security-opt\n\n2.1. Beispiel 1: AppArmor-Profil festlegen\n\nMit der security-opt-Option k\u00f6nnen wir ein AppArmor-Profil f\u00fcr unseren Container festlegen. AppArmor ist ein Linux-Sicherheitsmodul, das den Zugriff auf Systemressourcen einschr\u00e4nkt. Hier ist ein Beispiel:\n\n```\ndocker run --security-opt apparmor=docker-default nginx\n```\n\nIn diesem Beispiel legen wir das standardm\u00e4\u00dfige AppArmor-Profil \"docker-default\" f\u00fcr den Nginx-Container fest.\n\n2.2. Beispiel 2: Seccomp-Profil festlegen\n\nSeccomp (Secure Computing Mode) ist ein weiteres Linux-Sicherheitsfeature, das den Systemaufrufzugriff einschr\u00e4nkt. Mit der security-opt-Option k\u00f6nnen wir ein Seccomp-Profil f\u00fcr unseren Container festlegen. Hier ist ein Beispiel:\n\n```\ndocker run --security-opt seccomp=unconfined nginx\n```\n\nIn diesem Beispiel legen wir das Seccomp-Profil \"unconfined\" f\u00fcr den Nginx-Container fest, was bedeutet, dass keine zus\u00e4tzlichen Einschr\u00e4nkungen f\u00fcr Systemaufrufe gelten.\n\n2.3. Beispiel 3: Capabilities festlegen\n\nCapabilities sind Berechtigungen, die einem Prozess erteilt werden k\u00f6nnen, um bestimmte privilegierte Operationen auszuf\u00fchren. Mit der security-opt-Option k\u00f6nnen wir die Capabilities f\u00fcr unseren Container festlegen. Hier ist ein Beispiel:\n\n```\ndocker run --security-opt no-new-privileges nginx\n```\n\nIn diesem Beispiel legen wir die Option \"no-new-privileges\" fest, was bedeutet, dass der Container keine neuen Berechtigungen erhalten kann.\n\n3. Weitere security-opt-Optionen\n\nNeben den oben genannten Beispielen gibt es noch weitere security-opt-Optionen, die wir verwenden k\u00f6nnen, um die Sicherheit unserer Container zu erh\u00f6hen. Hier sind einige davon:\n\n- `apparmor=profile`: Legt ein AppArmor-Profil f\u00fcr den Container fest.\n- `seccomp=profile`: Legt ein Seccomp-Profil f\u00fcr den Container fest.\n- `no-new-privileges=true`: Verhindert, dass der Container neue Berechtigungen erh\u00e4lt.\n- `label=type:level`: Legt das SELinux-Label f\u00fcr den Container fest.\n\n4. Fazit\n\nDie security-opt-Option in Docker bietet uns eine Vielzahl von M\u00f6glichkeiten, um die Sicherheit unserer Container zu erh\u00f6hen. Durch die Festlegung von AppArmor-Profilen, Seccomp-Profilen und Capabilities k\u00f6nnen wir den Zugriff auf Systemressourcen einschr\u00e4nken und die Sicherheit unserer Container verbessern. Es ist wichtig, diese Optionen zu verstehen und sie entsprechend den Anforderungen unserer Anwendung zu konfigurieren.\n\nIch hoffe, dieser Artikel hat Ihnen geholfen, die Verwendung der security-opt-Option in Docker besser zu verstehen. Wenn Sie weitere Fragen haben, stehe ich Ihnen gerne zur Verf\u00fcgung.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/dockerpros.com\/de\/wiki\/dockerfile-security-opt\/","og_locale":"de_DE","og_type":"article","og_title":"Dockerfile -security-opt - Dockerpros","og_description":"The `--security-opt` flag in a Dockerfile allows users to specify security options for containers, enhancing isolation and control. It supports features like AppArmor, SELinux, and seccomp configurations.","og_url":"https:\/\/dockerpros.com\/de\/wiki\/dockerfile-security-opt\/","og_site_name":"Dockerpros","og_image":[{"width":800,"height":600,"url":"https:\/\/dockerpros.com\/wp-content\/uploads\/2024\/07\/dockerfile-security-opt_1344.jpg","type":"image\/jpeg"}],"twitter_card":"summary_large_image","twitter_misc":{"Gesch\u00e4tzte Lesezeit":"6\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/dockerpros.com\/wiki\/dockerfile-security-opt\/","url":"https:\/\/dockerpros.com\/wiki\/dockerfile-security-opt\/","name":"Dockerfile -security-opt - Dockerpros\n\nIn diesem Artikel werden wir uns mit dem Sicherheitsoption \"security-opt\" in Docker befassen. Diese Option erm\u00f6glicht es uns, zus\u00e4tzliche Sicherheitseinstellungen f\u00fcr unsere Docker-Container zu konfigurieren. Wir werden verschiedene Beispiele durchgehen, um zu verstehen, wie wir diese Option effektiv nutzen k\u00f6nnen.\n\n1. Einf\u00fchrung in security-opt\n\nDie security-opt-Option in Docker erm\u00f6glicht es uns, zus\u00e4tzliche Sicherheitseinstellungen f\u00fcr unsere Container zu konfigurieren. Diese Einstellungen k\u00f6nnen auf verschiedene Weise angewendet werden, um die Sicherheit unserer Container zu erh\u00f6hen.\n\n2. Beispiele f\u00fcr die Verwendung von security-opt\n\n2.1. Beispiel 1: AppArmor-Profil festlegen\n\nMit der security-opt-Option k\u00f6nnen wir ein AppArmor-Profil f\u00fcr unseren Container festlegen. AppArmor ist ein Linux-Sicherheitsmodul, das den Zugriff auf Systemressourcen einschr\u00e4nkt. Hier ist ein Beispiel:\n\n```\ndocker run --security-opt apparmor=docker-default nginx\n```\n\nIn diesem Beispiel legen wir das standardm\u00e4\u00dfige AppArmor-Profil \"docker-default\" f\u00fcr den Nginx-Container fest.\n\n2.2. Beispiel 2: Seccomp-Profil festlegen\n\nSeccomp (Secure Computing Mode) ist ein weiteres Linux-Sicherheitsfeature, das den Systemaufrufzugriff einschr\u00e4nkt. Mit der security-opt-Option k\u00f6nnen wir ein Seccomp-Profil f\u00fcr unseren Container festlegen. Hier ist ein Beispiel:\n\n```\ndocker run --security-opt seccomp=unconfined nginx\n```\n\nIn diesem Beispiel legen wir das Seccomp-Profil \"unconfined\" f\u00fcr den Nginx-Container fest, was bedeutet, dass keine zus\u00e4tzlichen Einschr\u00e4nkungen f\u00fcr Systemaufrufe gelten.\n\n2.3. Beispiel 3: Capabilities festlegen\n\nCapabilities sind Berechtigungen, die einem Prozess erteilt werden k\u00f6nnen, um bestimmte privilegierte Operationen auszuf\u00fchren. Mit der security-opt-Option k\u00f6nnen wir die Capabilities f\u00fcr unseren Container festlegen. Hier ist ein Beispiel:\n\n```\ndocker run --security-opt no-new-privileges nginx\n```\n\nIn diesem Beispiel legen wir die Option \"no-new-privileges\" fest, was bedeutet, dass der Container keine neuen Berechtigungen erhalten kann.\n\n3. Weitere security-opt-Optionen\n\nNeben den oben genannten Beispielen gibt es noch weitere security-opt-Optionen, die wir verwenden k\u00f6nnen, um die Sicherheit unserer Container zu erh\u00f6hen. Hier sind einige davon:\n\n- `apparmor=profile`: Legt ein AppArmor-Profil f\u00fcr den Container fest.\n- `seccomp=profile`: Legt ein Seccomp-Profil f\u00fcr den Container fest.\n- `no-new-privileges=true`: Verhindert, dass der Container neue Berechtigungen erh\u00e4lt.\n- `label=type:level`: Legt das SELinux-Label f\u00fcr den Container fest.\n\n4. Fazit\n\nDie security-opt-Option in Docker bietet uns eine Vielzahl von M\u00f6glichkeiten, um die Sicherheit unserer Container zu erh\u00f6hen. Durch die Festlegung von AppArmor-Profilen, Seccomp-Profilen und Capabilities k\u00f6nnen wir den Zugriff auf Systemressourcen einschr\u00e4nken und die Sicherheit unserer Container verbessern. Es ist wichtig, diese Optionen zu verstehen und sie entsprechend den Anforderungen unserer Anwendung zu konfigurieren.\n\nIch hoffe, dieser Artikel hat Ihnen geholfen, die Verwendung der security-opt-Option in Docker besser zu verstehen. Wenn Sie weitere Fragen haben, stehe ich Ihnen gerne zur Verf\u00fcgung.","isPartOf":{"@id":"https:\/\/dockerpros.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/dockerpros.com\/wiki\/dockerfile-security-opt\/#primaryimage"},"image":{"@id":"https:\/\/dockerpros.com\/wiki\/dockerfile-security-opt\/#primaryimage"},"thumbnailUrl":"https:\/\/dockerpros.com\/wp-content\/uploads\/2024\/07\/dockerfile-security-opt_1344.jpg","datePublished":"2024-07-23T12:36:42+00:00","breadcrumb":{"@id":"https:\/\/dockerpros.com\/wiki\/dockerfile-security-opt\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/dockerpros.com\/wiki\/dockerfile-security-opt\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/dockerpros.com\/wiki\/dockerfile-security-opt\/#primaryimage","url":"https:\/\/dockerpros.com\/wp-content\/uploads\/2024\/07\/dockerfile-security-opt_1344.jpg","contentUrl":"https:\/\/dockerpros.com\/wp-content\/uploads\/2024\/07\/dockerfile-security-opt_1344.jpg","width":800,"height":600,"caption":"dockerfile-security-opt-2"},{"@type":"BreadcrumbList","@id":"https:\/\/dockerpros.com\/wiki\/dockerfile-security-opt\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/dockerpros.com\/"},{"@type":"ListItem","position":2,"name":"Glossary","item":"https:\/\/dockerpros.com\/fr\/wiki\/"},{"@type":"ListItem","position":3,"name":"Dockerfile &#8211;security-opt"}]},{"@type":"WebSite","@id":"https:\/\/dockerpros.com\/#website","url":"https:\/\/dockerpros.com\/","name":"Docker-Profis","description":"DockerPros \u2013 Ihr umfassender Docker-Ressourcen-Hub","publisher":{"@id":"https:\/\/dockerpros.com\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/dockerpros.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/dockerpros.com\/#organization","name":"Docker-Profis","url":"https:\/\/dockerpros.com\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/dockerpros.com\/#\/schema\/logo\/image\/","url":"https:\/\/dockerpros.com\/wp-content\/uploads\/2024\/07\/Dockerpros_logo_blanco.png","contentUrl":"https:\/\/dockerpros.com\/wp-content\/uploads\/2024\/07\/Dockerpros_logo_blanco.png","width":532,"height":114,"caption":"Dockerpros"},"image":{"@id":"https:\/\/dockerpros.com\/#\/schema\/logo\/image\/"}}]}},"_links":{"self":[{"href":"https:\/\/dockerpros.com\/de\/wp-json\/wp\/v2\/glossary\/1344","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/dockerpros.com\/de\/wp-json\/wp\/v2\/glossary"}],"about":[{"href":"https:\/\/dockerpros.com\/de\/wp-json\/wp\/v2\/types\/glossary"}],"author":[{"embeddable":true,"href":"https:\/\/dockerpros.com\/de\/wp-json\/wp\/v2\/users\/1"}],"version-history":[{"count":0,"href":"https:\/\/dockerpros.com\/de\/wp-json\/wp\/v2\/glossary\/1344\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dockerpros.com\/de\/wp-json\/wp\/v2\/media\/2001"}],"wp:attachment":[{"href":"https:\/\/dockerpros.com\/de\/wp-json\/wp\/v2\/media?parent=1344"}],"wp:term":[{"taxonomy":"glossary-cat","embeddable":true,"href":"https:\/\/dockerpros.com\/de\/wp-json\/wp\/v2\/glossary-cat?post=1344"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}