📄️ 内核命名空间
Docker 容器和 LXC 容器很相似,所提供的安全特性也差不多。当用 docker run 启动一个容器时,在后台 Docker 为容器创建了一个独立的命名空间和控制组集合。
📄️ 控制组
控制组是 Linux 容器机制的另外一个关键组件,负责实现资源的审计和限制。
📄️ Docker服务端的防护
运行一个容器或应用程序的核心是通过 Docker 服务端。Docker 服务的运行目前需要 root 权限,因此其安全性十分关键。
📄️ 内核能力机制
能力机制(Capability) 是 Linux 内核一个强大的特性,可以提供细粒度的权限访问控制。
📄️ 其它安全特性
除了能力机制之外,还可以利用一些现有的安全机制来增强使用 Docker 的安全性,例如 TOMOYO, AppArmor, Seccomp, SELinux, GRSEC 等。
📄️ 总结
总体来看,Docker 容器还是十分安全的,特别是在容器内不使用 root 权限来运行进程的话。