Polish Docker workflow formatting

2026-03-25 19:25:27 +00:00 · 2026-03-16 00:32:49 -07:00
parent 5840c160f1
commit b5830eb690
44 changed files with 107 additions and 121 deletions
--- a/18_security/18.3_daemon_sec.md
+++ b/18_security/18.3_daemon_sec.md
@@ -48,7 +48,7 @@ dockerd \
 > [!CAUTION]
 > 永远不要将不可信的普通用户加入到 `docker` 用户组中。同样，在容器编排时尽量避免将宿主机的 `/var/run/docker.sock` 直接映射给普通容器使用，这种模式被称为 Docker-in-Docker (DinD) 或 Docker-out-of-Docker (DooD)，存在极高的越权风险。

-### 18.3.3 Rootless 模式 (非特权运行)
+### 18.3.3 Rootless 模式：非特权运行

 为了从根本上解决“拥有 Docker socket 就是 root”的问题，Docker 在近年推出了 **Rootless 模式**。

--- a/18_security/18.5_other_feature.md
+++ b/18_security/18.5_other_feature.md
@@ -39,7 +39,7 @@ chmod: /etc/passwd: Operation not permitted
 ```
 应用只要被劫持进行越界尝试，其操作系统层命令便会立刻吃瘪。

-### 18.5.2 强制访问控制 (AppArmor / SELinux)
+### 18.5.2 强制访问控制：AppArmor / SELinux

 传统的 Linux 模型遵循 DAC（自主访问控制），这意味着如果一个文件被赋予了全员读写权限（`777`），普通隔离下任何人便都能修改。但 **MAC（强制访问控制）** 技术，诸如 `AppArmor` (常用于 Ubuntu/Debian) 或 `SELinux` (常用于 CentOS/RHEL)，可以制定比“文件所有权”更宏观且优先的策略控制模块。