replace '運行' as '執行'

security/control_group.md

@@ -3,6 +3,6 @@
 
 它提供了很多有用的特性；以及確保各個容器可以公平地分享主機的內存、CPU、磁盤 IO 等資源；當然，更重要的是，控制組確保了當容器內的資源使用產生壓力時不會連累主機系統。
 
-盡管控制組不負責隔離容器之間相互訪問、處理數據和進程，它在防止拒絕服務（DDOS）攻擊方面是必不可少的。尤其是在多用戶的平臺（比如公有或私有的 PaaS）上，控制組十分重要。例如，當某些應用程序表現異常的時候，可以保證一致地正常運行和性能。
+盡管控制組不負責隔離容器之間相互訪問、處理數據和進程，它在防止拒絕服務（DDOS）攻擊方面是必不可少的。尤其是在多用戶的平臺（比如公有或私有的 PaaS）上，控制組十分重要。例如，當某些應用程序表現異常的時候，可以保證一致地正常執行和性能。
 
 控制組機制始於 2006 年，內核從 2.6.24 版本開始被引入。

security/daemon_sec.md

@@ -1,5 +1,5 @@
 ## Docker服務端的防護
-運行一個容器或應用程序的核心是通過 Docker 服務端。Docker 服務的運行目前需要 root 權限，因此其安全性十分關鍵。
+執行一個容器或應用程序的核心是通過 Docker 服務端。Docker 服務的執行目前需要 root 權限，因此其安全性十分關鍵。
 
 首先，確保只有可信的用戶才可以訪問 Docker 服務。Docker 允許用戶在主機和容器間共享文件夾，同時不需要限制容器的訪問權限，這就容易讓容器突破資源限制。例如，惡意用戶啟動容器的時候將主機的根目錄`/`映射到容器的 `/host` 目錄中，那麽容器理論上就可以對主機的文件系統進行任意修改了。這聽起來很瘋狂？但是事實上幾乎所有虛擬化系統都允許類似的資源共享，而沒法禁止用戶共享主機根文件系統到虛擬機系統。
 
@@ -9,10 +9,10 @@
 
 用戶仍可以利用 HTTP 提供 REST API 訪問。建議使用安全機制，確保只有可信的網絡或 VPN，或證書保護機制（例如受保護的 stunnel 和 ssl 認證）下的訪問可以進行。此外，還可以使用 HTTPS 和證書來加強保護。
 
-最近改進的 Linux 名字空間機制將可以實現使用非 root 用戶來運行全功能的容器。這將從根本上解決了容器和主機之間共享文件系統而引起的安全問題。
+最近改進的 Linux 名字空間機制將可以實現使用非 root 用戶來執行全功能的容器。這將從根本上解決了容器和主機之間共享文件系統而引起的安全問題。
 
 終極目標是改進 2 個重要的安全特性：
 * 將容器的 root 用戶映射到本地主機上的非 root 用戶，減輕容器和主機之間因權限提升而引起的安全問題；
-* 允許 Docker 服務端在非 root 權限下運行，利用安全可靠的子進程來代理執行需要特權權限的操作。這些子進程將只允許在限定範圍內進行操作，例如僅僅負責虛擬網絡設定或文件系統管理、配置操作等。
+* 允許 Docker 服務端在非 root 權限下執行，利用安全可靠的子進程來代理執行需要特權權限的操作。這些子進程將只允許在限定範圍內進行操作，例如僅僅負責虛擬網絡設定或文件系統管理、配置操作等。
 
-最後，建議采用專用的服務器來運行 Docker 和相關的管理服務（例如管理服務比如 ssh 監控和進程監控、管理工具 nrpe、collectd 等）。其它的業務服務都放到容器中去運行。
+最後，建議采用專用的服務器來執行 Docker 和相關的管理服務（例如管理服務比如 ssh 監控和進程監控、管理工具 nrpe、collectd 等）。其它的業務服務都放到容器中去執行。

security/kernel_capability.md

@@ -7,7 +7,7 @@ Linux 內核自 2.2 版本起就支持能力機制，它將權限劃分為更加
 
 默認情況下，Docker 啟動的容器被嚴格限制只允許使用內核的一部分能力。
 
-使用能力機制對加強 Docker 容器的安全有很多好處。通常，在服務器上會運行一堆需要特權權限的進程，包括有 ssh、cron、syslogd、硬件管理工具模塊（例如負載模塊）、網絡配置工具等等。容器跟這些進程是不同的，因為幾乎所有的特權進程都由容器以外的支持系統來進行管理。
+使用能力機制對加強 Docker 容器的安全有很多好處。通常，在服務器上會執行一堆需要特權權限的進程，包括有 ssh、cron、syslogd、硬件管理工具模塊（例如負載模塊）、網絡配置工具等等。容器跟這些進程是不同的，因為幾乎所有的特權進程都由容器以外的支持系統來進行管理。
 * ssh 訪問被主機上ssh服務來管理；
 * cron 通常應該作為用戶進程執行，權限交給使用它服務的應用來處理；
 * 日誌系統可由 Docker 或第三方服務管理；

security/kernel_ns.md

@@ -1,7 +1,7 @@
 ## 內核名字空間
 Docker 容器和 LXC 容器很相似，所提供的安全特性也差不多。當用 `docker run` 啟動一個容器時，在後臺 Docker 為容器創建了一個獨立的名字空間和控制組集合。
 
-名字空間提供了最基礎也是最直接的隔離，在容器中運行的進程不會被運行在主機上的進程和其它容器發現和作用。
+名字空間提供了最基礎也是最直接的隔離，在容器中執行的進程不會被執行在主機上的進程和其它容器發現和作用。
 
 每個容器都有自己獨有的網絡棧，意味著它們不能訪問其他容器的 sockets 或接口。不過，如果主機系統上做了相應的設置，容器可以像跟主機交互一樣的和其他容器交互。當指定公共端口或使用 links 來連接 2 個容器時，容器就可以相互通信了（可以根據配置來限制通信的策略）。
 

security/other_feature.md

@@ -2,7 +2,7 @@
 除了能力機制之外，還可以利用一些現有的安全機制來增強使用 Docker 的安全性，例如 TOMOYO, AppArmor, SELinux, GRSEC 等。
 
 Docker 當前默認只啟用了能力機制。用戶可以采用多種方案來加強 Docker 主機的安全，例如：
-* 在內核中啟用 GRSEC 和 PAX，這將增加很多編譯和運行時的安全檢查；通過地址隨機化避免惡意探測等。並且，啟用該特性不需要 Docker 進行任何配置。
+* 在內核中啟用 GRSEC 和 PAX，這將增加很多編譯和執行時的安全檢查；通過地址隨機化避免惡意探測等。並且，啟用該特性不需要 Docker 進行任何配置。
 * 使用一些有增強安全特性的容器模板，比如帶 AppArmor 的模板和 Redhat 帶 SELinux 策略的模板。這些模板提供了額外的安全特性。
 * 用戶可以自定義訪問控制機制來定制安全策略。
 

security/summary.md

@@ -1,4 +1,4 @@
 ## 總結
-總體來看，Docker 容器還是十分安全的，特別是在容器內不使用 root 權限來運行進程的話。
+總體來看，Docker 容器還是十分安全的，特別是在容器內不使用 root 權限來執行進程的話。
 
 另外，用戶可以使用現有工具，比如 Apparmor, SELinux, GRSEC 來增強安全性；甚至自己在內核中實現更復雜的安全機制。