其他安全特性

除了能力機制之外,還可以利用一些現有的安全機制來增強使用 Docker 的安全性,例如 TOMOYO 、 AppArmor 、 SELinux 、 GRSEC 等。

Docker 當前預設只啟用了能力機制。使用者可以採用多種方案來加強 Docker 主機的安全,例如:

  • 在核心中啟用 GRSEC 和 PAX,這將增加很多編譯和執行時的安全檢查;透過位址隨機化避免惡意探測等。並且,啟用該特性不需要 Docker 進行任何設定。

  • 使用一些有增強安全特性的容器模板,比如帶 AppArmor 的模板和 Redhat 帶 SELinux 策略的模板。這些模板提供了額外的安全特性。

  • 使用者可以自訂存取控制機制來定制安全策略。

跟其它新增到 Docker 容器的第三方工具一樣(比如網路拓撲和檔案系統共享),有很多類似的機制,在不改變 Docker 核心情況下就可以強化現有的容器。

Previous核心能力機制Next總結

Last updated