docker_practice/security/other_feature.md

11 lines
941 B
Go
Raw Normal View History

# 其它安全特性
除了能力机制之外还可以利用一些现有的安全机制来增强使用 Docker 的安全性例如 TOMOYO, AppArmor, Seccomp, SELinux, GRSEC
Docker 当前默认只启用了能力机制用户可以采用多种方案来加强 Docker 主机的安全例如
* 在内核中启用 GRSEC PAX这将增加很多编译和运行时的安全检查通过地址随机化避免恶意探测等并且启用该特性不需要 Docker 进行任何配置
* 使用一些有增强安全特性的容器模板比如带 AppArmor 的模板和 Redhat SELinux 策略的模板这些模板提供了额外的安全特性
* 用户可以自定义访问控制机制来定制安全策略
跟其它添加到 Docker 容器的第三方工具一样比如网络拓扑和文件系统共享有很多类似的机制在不改变 Docker 内核情况下就可以加固现有的容器