docker_practice/security/other_feature.md

# 其它安全特性
除了能力机制之外，还可以利用一些现有的安全机制来增强使用 Docker 的安全性，例如 TOMOYO, AppArmor, SELinux, GRSEC 等。

Docker 当前默认只启用了能力机制。用户可以采用多种方案来加强 Docker 主机的安全，例如：
* 在内核中启用 GRSEC 和 PAX，这将增加很多编译和运行时的安全检查；通过地址随机化避免恶意探测等。并且，启用该特性不需要 Docker 进行任何配置。
* 使用一些有增强安全特性的容器模板，比如带 AppArmor 的模板和 Redhat 带 SELinux 策略的模板。这些模板提供了额外的安全特性。
* 用户可以自定义访问控制机制来定制安全策略。

跟其它添加到 Docker 容器的第三方工具一样（比如网络拓扑和文件系统共享），有很多类似的机制，在不改变 Docker 内核情况下就可以加固现有的容器。
-												Update title style

Signed-off-by: Kang HuaiShuai <khs1994@khs1994.com>

											
										
										
											2019-11-06 06:53:09 +00:00
+								# 其它安全特性
-												Fix issue#20, format following the guidelines

											
										
										
											2014-10-14 05:25:01 +00:00
+								除了能力机制之外，还可以利用一些现有的安全机制来增强使用 Docker 的安全性，例如 TOMOYO, AppArmor, SELinux, GRSEC 等。
-												fix the terminologies, add more content

											
										
										
											2014-09-17 08:31:25 +00:00
-												Fix issue#20, format following the guidelines

											
										
										
											2014-10-14 05:25:01 +00:00
+								Docker 当前默认只启用了能力机制。用户可以采用多种方案来加强 Docker 主机的安全，例如：
 								* 在内核中启用 GRSEC 和 PAX，这将增加很多编译和运行时的安全检查；通过地址随机化避免恶意探测等。并且，启用该特性不需要 Docker 进行任何配置。
 								* 使用一些有增强安全特性的容器模板，比如带 AppArmor 的模板和 Redhat 带 SELinux 策略的模板。这些模板提供了额外的安全特性。
-												Rewrite the other security feature part and security summary part

											
										
										
											2014-09-22 03:19:30 +00:00
+								* 用户可以自定义访问控制机制来定制安全策略。
-												Fix issue#20, format following the guidelines

											
										
										
											2014-10-14 05:25:01 +00:00
+								跟其它添加到 Docker 容器的第三方工具一样（比如网络拓扑和文件系统共享），有很多类似的机制，在不改变 Docker 内核情况下就可以加固现有的容器。