Docker 安全指南:保障容器环境的安全
1. Docker 安全概述
Docker 容器并非真正的沙盒应用程序,因此不建议以 root 身份在 Docker 中运行随机应用程序。应将在容器中运行的服务或进程视为在主机系统上运行的服务或进程,并在容器内采取与主机系统相同的安全措施。
Docker 使用六种命名空间(进程、网络、挂载、主机名、共享内存和用户)进行隔离,但并非 Linux 中的所有内容都进行了命名空间隔离,例如 SELinux、Cgroups、设备(/dev/mem、/dev/sd*)和内核模块。/sys、/proc/sys、/proc/sysrq-trigger、/proc/irq、/proc/bus 下的文件系统也未进行命名空间隔离,但使用 libcontainer 执行驱动时,它们默认以只读方式挂载。
为了使 Docker 成为一个安全的环境,近期已经做了很多工作,并且还有更多工作正在进行中:
-选择合适的基础镜像:Docker 镜像作为基础构建块,选择合适的基础镜像至关重要。Docker 有官方镜像的概念,可通过以下命令在 Docker Hub 上搜索镜像:
$ docker search <image name>例如:
$ docker search fedora搜索结果中会有一个“OFFICIAL”列,如果镜像为官方镜像,该列会显示 [OK]。Docker 1
