replace '網絡' as '網路'

2025-10-23 15:01:46 +00:00 · 2014-11-20 01:06:47 +08:00
parent d24b44076b
commit 893e0f8bb7
22 changed files with 71 additions and 71 deletions
--- a/security/daemon_sec.md
+++ b/security/daemon_sec.md
@@ -7,12 +7,12 @@

 為了加強對服務端的保護，Docker 的 REST API（客戶端用來跟服務端通信）在 0.5.2 之後使用本地的 Unix 套接字機制替代了原先綁定在 127.0.0.1 上的 TCP 套接字，因為後者容易遭受跨站腳本攻擊。現在用戶使用 Unix 權限檢查來加強套接字的訪問安全。

-用戶仍可以利用 HTTP 提供 REST API 訪問。建議使用安全機制，確保只有可信的網絡或 VPN，或證書保護機制（例如受保護的 stunnel 和 ssl 認證）下的訪問可以進行。此外，還可以使用 HTTPS 和證書來加強保護。
+用戶仍可以利用 HTTP 提供 REST API 訪問。建議使用安全機制，確保只有可信的網路或 VPN，或證書保護機制（例如受保護的 stunnel 和 ssl 認證）下的訪問可以進行。此外，還可以使用 HTTPS 和證書來加強保護。

 最近改進的 Linux 名字空間機制將可以實現使用非 root 用戶來執行全功能的容器。這將從根本上解決了容器和主機之間共享文件系統而引起的安全問題。

 終極目標是改進 2 個重要的安全特性：
 * 將容器的 root 用戶映射到本地主機上的非 root 用戶，減輕容器和主機之間因權限提升而引起的安全問題；
-* 允許 Docker 服務端在非 root 權限下執行，利用安全可靠的子程序來代理執行需要特權權限的操作。這些子程序將只允許在限定範圍內進行操作，例如僅僅負責虛擬網絡設定或文件系統管理、配置操作等。
+* 允許 Docker 服務端在非 root 權限下執行，利用安全可靠的子程序來代理執行需要特權權限的操作。這些子程序將只允許在限定範圍內進行操作，例如僅僅負責虛擬網路設定或文件系統管理、配置操作等。

 最後，建議采用專用的服務器來執行 Docker 和相關的管理服務（例如管理服務比如 ssh 監控和程序監控、管理工具 nrpe、collectd 等）。其它的業務服務都放到容器中去執行。