Merge branch 'master' of https://github.com/cxjava/docker_practice into cxjava-master

Conflicts: security/control_group.md security/daemon_sec.md security/kernel_capability.md security/kernel_ns.md
2025-08-01 05:21:46 +00:00 · 2014-09-22 10:04:22 +08:00
parent 909dfb8e12 2a21c2f595
commit 71f0f50f27
6 changed files with 7 additions and 8 deletions
--- a/security/daemon_sec.md
+++ b/security/daemon_sec.md
@@ -7,7 +7,7 @@

 为了加强对服务端的保护，Docker的REST API（客户端用来跟服务端通信）在0.5.2之后使用本地的Unix套接字机制替代了原先绑定在127.0.0.1上的TCP套接字，因为后者容易遭受跨站脚本攻击。现在用户使用Unix权限检查来加强套接字的访问安全。

-用户仍可以利用HTTP提供REST API访问。建议使用安全机制，确保只有可信的网络或VPN，或证书保护机制（例如受保护的stunnel和ssl认证）可以进行访问。此外，还可以使用HTTPS和证书来加强保护。
+用户仍可以利用HTTP提供REST API访问。建议使用安全机制，确保只有可信的网络或VPN，或证书保护机制（例如受保护的stunnel和ssl认证）下的访问可以进行。此外，还可以使用HTTPS和证书来加强保护。

 最近改进的Linux名字空间机制将可以实现使用非root用户来运行全功能的容器。这将从根本上解决了容器和主机之间共享文件系统而引起的安全问题。

@@ -16,4 +16,3 @@
 * 允许Docker服务端在非root权限下运行，利用安全可靠的子进程来代理执行需要特权权限的操作。这些子进程将只允许在限定范围内进行操作，例如仅仅负责虚拟网络设定或文件系统管理、配置操作等。

 最后，建议采用专用的服务器来运行Docker和相关的管理服务（例如管理服务比如ssh 监控和进程监控、管理工具nrpe、collectd等）。其它的业务服务都放到容器中去运行。
-
--- a/security/kernel_ns.md
+++ b/security/kernel_ns.md
@@ -3,7 +3,7 @@ Docker容器和LXC容器很相似，所提供的安全特性也差不多。当

 名字空间提供了最基础也是最直接的隔离，在容器中运行的进程不会被运行在主机上的进程和其它容器发现和作用。

-每个容器都有自己独有的网络栈，意味着它们不能访问其他容器的sockets或接口。不过，如果主机系统上做了相应的设置，容器可以像跟主机交互一样的和其他容器交互。当指定公共端口或则使用links来连接2个容器时，容器就可以相互通信了（可以根据配置来限制通信的策略）。
+每个容器都有自己独有的网络栈，意味着它们不能访问其他容器的sockets或接口。不过，如果主机系统上做了相应的设置，容器可以像跟主机交互一样的和其他容器交互。当指定公共端口或使用links来连接2个容器时，容器就可以相互通信了（可以根据配置来限制通信的策略）。

 从网络架构的角度来看，所有的容器通过本地主机的网桥接口相互通信，就像物理机器通过物理交换机通信一样。