运行docker安全

我知道docker守护程序需要以root身份运行,所以我被告知这可能会导致一些安全隐患,如容器被入侵,攻击者可以修改主机的系统文件。

我可以采取什么预防措施来减轻攻击时的损害?

在运行docker守护进程时,我应该注意哪些做法? 我曾经想过要有一个stream浪汉来升级虚拟机,让docker运行在vm上。

有关Docker安全实践的主要信息来源是“ Docker安全性 ”页面。

只有受信任的用户才能被允许控制你的Docker守护进程
这是一些强大的Dockerfunction的直接结果。

具体来说,Docker允许您在Docker主机和访客容器之间共享一个目录; 它允许你这样做而不限制容器的访问权限。

如果您公开REST API,您应该通过https进行操作。

最后,如果你在一台服务器上运行Docker,build议在服务器上专门运行Docker,并移动Docker控制的容器内的所有其他服务

关于VM,请参阅“ Docker容器是否真的安全?

最大的问题是Linux中的所有内容都没有命名空间。 目前,Docker使用五个名称空间来更改系统的进程视图:进程,networking,安装,主机名,共享内存。

虽然这些为用户提供了一定程度的安全性,但并不全面,例如KVM(基于内核的虚拟机) 。
在KVM环境中,虚拟机中的进程不直接与主机内核通信。 他们没有任何访问内核文件系统,如/sys/sys/fs/proc/*