Add the container security chapter

2025-10-13 02:31:37 +00:00 · 2014-09-05 16:13:28 +08:00
parent 9e38647231
commit 7699a762ca
8 changed files with 51 additions and 0 deletions
--- a/container_security/other_feature.md
+++ b/container_security/other_feature.md
@@ -0,0 +1,7 @@
+##其它安全特性
+Capabilities是现代linux内核提供的诸多安全特性中的一个，docker可以利用现有的如TOMOYO, AppArmor, SELinux, GRSEC来增强安全性。为什么docker当前只启用capabilities,而不介入其他系统。
+因为这样他就还可以有很多方法来加固docker主机，下面是一些例子。
+*你可以在内核中加载GRSEC和PAX，这会增加很多安全检查。
+*你可以使用一些有增强安全特性的发行版的模板，比如带apparmor的模板和redhat系列带selinux dcoker策略，这些模板提供了额外的安全特性。
+*使用你自己喜欢的访问控制机制来定义你自己的安全策略。
+像其他添加到docker容器的第三方工具一样（比如网络拓扑和文件系统共享），有很多这样的工具，利用他们可以不用改变docker内核就可以加固现有的docker容器