Prendre rendez-vous
Sécurité
Docker
Conteneurs

Renforcer la sécurité des conteneurs Docker avec AppArmor et seccomp

19 juillet 2025

2 min de lecture

Sommaire
Prérequis
1. Activer AppArmor
2. Profil AppArmor pour Docker
3. Activer seccomp
4. Tester le profil seccomp
5. Bonnes pratiques
Compléments
Conclusion

Les conteneurs Docker offrent flexibilité et portabilité, mais nécessitent des politiques de sécurité strictes. AppArmor et seccomp permettent de limiter les capacités des conteneurs et de réduire la surface d’attaque. Ce guide explique comment appliquer et personnaliser ces profils.

Prérequis

  • Serveur Linux (Debian, Ubuntu, Rocky, AlmaLinux)
  • Docker Engine installé (v20+)

1. Activer AppArmor

Vérifiez l’état :

sudo aa-status

Si AppArmor n’est pas actif :

sudo systemctl enable --now apparmor

2. Profil AppArmor pour Docker

Docker utilise un profil intégré nommé docker-default. Pour créer un profil personnalisé, créez un nouveau fichier :

sudo nano /etc/apparmor.d/docker-custom

Exemple de profil minimal :

#include <tunables/global>

profile docker-custom flags=(attach_disconnected,mediate_deleted) {
  #include <abstractions/base>

  file,
  network,
  capability,

  deny /etc/shadow r,
  deny /etc/passwd w,
}

Puis chargez le profil :

sudo apparmor_parser -r /etc/apparmor.d/docker-custom

Lancez un conteneur avec le profil :

docker run --rm --security-opt apparmor=docker-custom alpine cat /etc/os-release

3. Activer seccomp

Docker utilise un profil seccomp par défaut (default.json). Pour un profil personnalisé :

wget https://raw.githubusercontent.com/moby/moby/master/profiles/seccomp/default.json -O custom-seccomp.json

Éditez custom-seccomp.json pour désactiver les appels système non nécessaires (e.g. clone, ptrace).

4. Tester le profil seccomp

docker run --rm --security-opt seccomp=custom-seccomp.json alpine uname -a

Les appels bloqués renvoient une erreur EPERM.

5. Bonnes pratiques

  • Commencez par le profil Docker par défaut, puis retirez les appels système superflus.
  • Déployez en test avant la production.
  • Combinez AppArmor, seccomp et capabilities (e.g. --cap-drop=ALL --cap-add=NET_BIND_SERVICE).

Compléments

Pour une sécurité en profondeur, complétez AppArmor et seccomp avec un guide complet de hardening Docker, le scanning des images avec Trivy, et explorez Podman comme alternative sécurisée.

Conclusion

En personnalisant AppArmor et seccomp, vous renforcez significativement la sécurité de vos conteneurs Docker, limitant les privilèges et réduisant les risques d'exploitation.

Besoin d'aide sur ce sujet ?

Notre équipe d'experts est là pour vous accompagner dans vos projets d'infrastructure et d'infogérance.

Contactez-nous

Articles similaires

Hardening Docker : sécuriser vos conteneurs en production
Sécurité
Docker
Conteneurs

Hardening Docker : sécuriser vos conteneurs en production

Guide complet pour durcir la sécurité de vos conteneurs Docker : utilisateurs non-root, capabilities, AppArmor, secrets management et scanning d'images.

15 janv. 2026

Lire plus

Gestion sécurisée des mots de passe
Sécurité
Docker

Gestion sécurisée des mots de passe

Guide détaillé pour déployer et configurer votre propre serveur Vaultwarden - Une alternative open-source et auto-hébergée à Bitwarden pour gérer vos mots de passe

21 mai 2025

Lire plus

Podman 2026 : alternative Docker rootless, pods Kubernetes et containers sécurisés
Containers
DevOps
Sécurité

Podman 2026 : alternative Docker rootless, pods Kubernetes et containers sécurisés

Guide complet Podman 2026 : containers rootless sans daemon, pods Kubernetes-native, migration depuis Docker, systemd integration, sécurité et production.

7 févr. 2026

Lire plus