2026年容器安全技術(shù)考核試題及答案一、單選題（共10題，每題2分，共20分）1.在Docker容器中，以下哪個(gè)命令用于查看當(dāng)前正在運(yùn)行的容器？A.`dockerps-a`B.`dockerrun`C.`dockerimages`D.`dockerexec`2.容器鏡像的分層存儲(chǔ)機(jī)制中，以下哪項(xiàng)描述是正確的？A.每個(gè)鏡像都是獨(dú)立的文件系統(tǒng)B.多個(gè)鏡像共享相同的文件系統(tǒng)層C.每個(gè)容器修改都會(huì)創(chuàng)建新的鏡像層D.鏡像層不支持并行修改3.在Kubernetes中，用于限制Pod資源使用上限的配置文件字段是？A.`resources`B.`limits`C.`requests`D.`annotations`4.容器運(yùn)行時(shí)安全中，以下哪項(xiàng)技術(shù)可以檢測(cè)鏡像中的惡意代碼？A.SELinuxB.AppArmorC.ClairD.DockerSwarm5.以下哪個(gè)工具用于在Docker容器間實(shí)現(xiàn)服務(wù)發(fā)現(xiàn)？A.ConsulB.NginxC.OpenShiftD.Kubernetes6.在云原生環(huán)境中，用于實(shí)現(xiàn)容器網(wǎng)絡(luò)隔離的機(jī)制是？A.VPCB.CNI插件C.VPND.NAT網(wǎng)關(guān)7.容器存儲(chǔ)卷（Volume）與綁定掛載（BindMount）的主要區(qū)別在于？A.卷支持持久化，掛載不支持B.掛載支持權(quán)限控制，卷不支持C.卷支持多容器共享，掛載不支持D.掛載可以掛載非Docker文件系統(tǒng)8.在容器安全審計(jì)中，以下哪個(gè)日志文件記錄了容器的啟動(dòng)和運(yùn)行過(guò)程？A.`/var/log/syslog`B.`/var/log/docker.log`C.`/var/log/kubelet.log`D.`/var/log/audit.log`9.以下哪個(gè)容器安全框架基于微隔離思想？A.PodSecurityPolicies(PSP)B.SeccompC.NetworkPoliciesD.AppArmor10.在容器編排工具中，以下哪個(gè)特性可以自動(dòng)重啟失敗的容器？A.RolloutB.Self-healingC.OrchestrationD.Rescheduling二、多選題（共5題，每題3分，共15分）1.容器鏡像安全掃描中，以下哪些工具可以用于檢測(cè)漏洞？A.TrivyB.ClairC.DockerBenchforSecurityD.Nessus2.Kubernetes中，以下哪些資源類(lèi)型屬于核心組件？A.NamespaceB.DeploymentC.ServiceD.PersistentVolume3.容器網(wǎng)絡(luò)安全中，以下哪些技術(shù)可以用于實(shí)現(xiàn)網(wǎng)絡(luò)隔離？A.PodNetworkPoliciesB.CalicoC.FlannelD.iptables4.容器存儲(chǔ)安全中，以下哪些機(jī)制可以防止數(shù)據(jù)泄露？A.EncryptionatRestB.ImmutableVolumesC.SnapshotD.AccessControlLists(ACLs)5.容器運(yùn)行時(shí)安全中，以下哪些策略可以增強(qiáng)容器隔離性？A.SeccompB.NamespacesC.CgroupsD.AppArmor三、判斷題（共5題，每題2分，共10分）1.Dockerfile中的`FROM`指令必須位于鏡像構(gòu)建的第一行。（正確）2.Kubernetes中的Service資源可以暴露內(nèi)部Pod，但不能暴露外部訪問(wèn)。（錯(cuò)誤）3.容器鏡像的層可以被并行修改，以提高構(gòu)建效率。（正確）4.容器存儲(chǔ)卷（Volume）比綁定掛載（BindMount）更安全。（正確）5.Seccomp可以通過(guò)白名單機(jī)制限制容器的系統(tǒng)調(diào)用。（正確）四、簡(jiǎn)答題（共3題，每題5分，共15分）1.簡(jiǎn)述Docker鏡像與虛擬機(jī)鏡像的主要區(qū)別。-答案：Docker鏡像與虛擬機(jī)鏡像的主要區(qū)別包括：1.構(gòu)建方式：Docker鏡像基于分層文件系統(tǒng)構(gòu)建，虛擬機(jī)鏡像包含完整的操作系統(tǒng)。2.啟動(dòng)速度：Docker鏡像啟動(dòng)更快，虛擬機(jī)啟動(dòng)較慢。3.資源占用：Docker鏡像更輕量，虛擬機(jī)需要額外分配硬件資源。4.隔離機(jī)制：Docker使用Namespaces和Cgroups實(shí)現(xiàn)隔離，虛擬機(jī)使用硬件虛擬化。2.解釋Kubernetes中Pod的Self-healing機(jī)制如何工作。-答案：Kubernetes的Self-healing機(jī)制包括：1.自動(dòng)重啟：當(dāng)Pod失敗時(shí)，Kubernetes會(huì)自動(dòng)重啟容器。2.重新調(diào)度：如果重啟無(wú)效，Pod會(huì)被重新調(diào)度到其他節(jié)點(diǎn)。3.副本控制器：確保Pod副本數(shù)維持在期望值，避免單點(diǎn)故障。3.列舉三種容器網(wǎng)絡(luò)安全策略，并簡(jiǎn)述其作用。-答案：1.NetworkPolicies：限制Pod間的網(wǎng)絡(luò)通信，防止未授權(quán)訪問(wèn)。2.ServiceMesh：通過(guò)Ingress/Negress控制流量，增強(qiáng)網(wǎng)絡(luò)安全性。3.Micro-segmentation：在Pod級(jí)別實(shí)現(xiàn)網(wǎng)絡(luò)隔離，減少攻擊面。五、論述題（共1題，10分）結(jié)合實(shí)際場(chǎng)景，論述如何在一個(gè)企業(yè)級(jí)Kubernetes環(huán)境中設(shè)計(jì)容器安全策略，并說(shuō)明關(guān)鍵步驟。-答案：企業(yè)級(jí)Kubernetes容器安全策略設(shè)計(jì)1.鏡像安全：-使用自動(dòng)化工具（如Trivy、Clair）掃描鏡像漏洞，禁止未打補(bǔ)丁的鏡像上線。-建立鏡像倉(cāng)庫(kù)準(zhǔn)入機(jī)制，強(qiáng)制使用私有倉(cāng)庫(kù)并簽名驗(yàn)證。2.運(yùn)行時(shí)安全：-啟用Seccomp和AppArmor限制容器系統(tǒng)調(diào)用，減少攻擊面。-使用Namespace實(shí)現(xiàn)資源隔離，避免容器間干擾。3.網(wǎng)絡(luò)安全：-配置PodNetworkPolicies，限制Pod間通信，僅允許必要端口訪問(wèn)。-使用ServiceMesh（如Istio）增強(qiáng)流量控制，實(shí)現(xiàn)mTLS加密。4.存儲(chǔ)安全：-對(duì)存儲(chǔ)卷進(jìn)行加密，防止數(shù)據(jù)泄露。-使用不可變卷（ImmutableVolumes）防止惡意篡改。5.審計(jì)與監(jiān)控：-啟用Kube審計(jì)日志，記錄所有API操作。-使用Prometheus+Grafana監(jiān)控容器資源使用和異常行為。六、案例分析題（共1題，10分）某電商公司使用Kubernetes部署微服務(wù)，近期發(fā)現(xiàn)部分Pod頻繁被攻擊導(dǎo)致服務(wù)中斷。請(qǐng)分析可能的原因，并提出解決方案。-答案：?jiǎn)栴}分析：1.網(wǎng)絡(luò)暴露：未配置NetworkPolicies，導(dǎo)致外部攻擊者可訪問(wèn)Pod。2.鏡像漏洞：未掃描鏡像漏洞，攻擊者利用已知漏洞入侵容器。3.權(quán)限過(guò)高：Pod運(yùn)行在root用戶，攻擊者可提升權(quán)限。4.資源不足：Pod未限制CPU/內(nèi)存，被攻擊后耗盡資源導(dǎo)致服務(wù)中斷。解決方案：1.網(wǎng)絡(luò)加固：-配置PodNetworkPolicies，限制入站/出站流量。-使用KubernetesIngress控制外部訪問(wèn)，開(kāi)啟TLS加密。2.鏡像安全：-強(qiáng)制鏡像掃描，禁止漏洞鏡像上線。-使用Multi-stageBuilds減少鏡像攻擊面。3.權(quán)限控制：-將容器運(yùn)行用戶改為非root，使用特權(quán)模式限制敏感操作。4.資源限制：-為Pod設(shè)置`resources.limits`和`resources.requests`，防止資源耗盡。答案與解析一、單選題答案與解析1.A：`dockerps-a`用于查看所有容器（包括運(yùn)行中和停止的）。2.B：Docker鏡像通過(guò)共享層實(shí)現(xiàn)效率，多個(gè)鏡像可復(fù)用公共層。3.B：`limits`字段定義資源上限（如CPU、內(nèi)存）。4.C：Clair是鏡像漏洞掃描工具，檢測(cè)惡意代碼和漏洞。5.A：Consul提供服務(wù)發(fā)現(xiàn)和配置管理。6.B：CNI插件負(fù)責(zé)Kubernetes網(wǎng)絡(luò)隔離和路由。7.A：卷支持持久化，掛載不支持；兩者都可共享，但掛載更靈活。8.B：`docker.log`記錄Docker守護(hù)進(jìn)程和容器操作。9.B：Seccomp通過(guò)白名單限制系統(tǒng)調(diào)用，實(shí)現(xiàn)微隔離。10.B：Self-healing是Kubernetes自動(dòng)恢復(fù)機(jī)制的核心特性。二、多選題答案與解析1.A、B：Trivy和Clair用于漏洞掃描；DockerBench和Nessus針對(duì)主機(jī)安全。2.A、B、C：Namespace、Deployment、Service是核心資源；D是存儲(chǔ)資源。3.A、B、D：PodPolicies、Calico、iptables實(shí)現(xiàn)網(wǎng)絡(luò)隔離；Flannel是網(wǎng)絡(luò)插件。4.A、B、D：EncryptionatRest、ImmutableVolumes、ACLs防止數(shù)據(jù)泄露；Snapshot用于備份。5.A、B、C：Seccomp、Namespaces、Cgroups增強(qiáng)隔離；AppArmor是強(qiáng)制訪問(wèn)控制。三、判斷題答案與解析1.正確：`FROM`是Dockerfile必選項(xiàng)，定義基礎(chǔ)鏡像。2.錯(cuò)誤：Service可配置NodePort/LoadBalancer暴露外部訪問(wèn)。3.正確：鏡像層可并行修改，提高構(gòu)建效率。4.正確：卷由Docker管理，更安全；掛載依賴外部文件系統(tǒng)。5.正確：Seccomp通過(guò)白名單限制系統(tǒng)調(diào)用。四、簡(jiǎn)答題答案與解析1.鏡像區(qū)別：Docker鏡像輕量、分層；虛擬機(jī)包含完整OS，資源占用高。2.Self-healing機(jī)制：自動(dòng)重啟、重新調(diào)度、副本控制，確保服務(wù)高可用。3.網(wǎng)絡(luò)策略：NetworkPolicies限制Pod通信；ServiceMesh控制流量；Micro-segmentation增強(qiáng)隔離。五、論述題答案與解析設(shè)計(jì)步驟：1.鏡像安全：自動(dòng)化掃描、準(zhǔn)入控制、簽名驗(yàn)證。2.運(yùn)行時(shí)安全：Seccomp/AppArmor、Namespace隔離。3.網(wǎng)絡(luò)安全：PodPolicies、ServiceMesh、mTLS。4.存儲(chǔ)安全：加密、不可變卷、