chore: remove unused historic image files

2026-03-11 12:21:17 +00:00 · 2026-02-21 16:43:31 -08:00
parent 79ac9c639a
commit 6aa7a51fef
124 changed files with 1001 additions and 492 deletions
--- a/11_ops/security/kernel_capability.md
+++ b/11_ops/security/kernel_capability.md
@@ -10,6 +10,7 @@ Linux 内核自 2.2 版本起就支持能力机制，它将权限划分为更加
 默认情况下，Docker 启动的容器被严格限制只允许使用内核的一部分能力。

 使用能力机制对加强 Docker 容器的安全有很多好处。通常，在服务器上会运行一堆需要特权权限的进程，包括有 ssh、cron、syslogd、硬件管理工具模块 (例如负载模块)、网络配置工具等等。容器跟这些进程是不同的，因为几乎所有的特权进程都由容器以外的支持系统来进行管理。
+
 * ssh 访问被主机上 ssh 服务来管理；
 * cron 通常应该作为用户进程执行，权限交给使用它服务的应用来处理；
 * 日志系统可由 Docker 或第三方服务管理；
@@ -17,6 +18,7 @@ Linux 内核自 2.2 版本起就支持能力机制，它将权限划分为更加
 * 网络管理也都在主机上设置，除非特殊需求，容器不需要对网络进行配置。

 从上面的例子可以看出，大部分情况下，容器并不需要 “真正的” root 权限，容器只需要少数的能力即可。为了加强安全，容器可以禁用一些没必要的权限。
+
 * 完全禁止任何 mount 操作；
 * 禁止直接访问本地主机的套接字；
 * 禁止访问一些文件系统的操作，比如创建新的设备、修改文件属性等；