909 B
909 B
##其它安全特性 除了能力机制之外,还可以利用一些现有的安全机制来增强使用Docker的安全性,例如TOMOYO, AppArmor, SELinux, GRSEC等。
Docker当前默认只启用了能力机制。用户可以采用多种方案来加强Docker主机的安全,例如:
- 在内核中启用GRSEC和PAX,这将增加很多编译和运行时的安全检查;通过地址随机化避免恶意探测等。并且,启用该特性不需要Docker进行任何配置。
- 使用一些有增强安全特性的容器模板,比如带AppArmor的模板和Redhat带SELinux策略的模板。这些模板提供了额外的安全特性。
- 用户可以自定义访问控制机制来定制安全策略。
跟其它添加到Docker容器的第三方工具一样(比如网络拓扑和文件系统共享),有很多类似的机制,在不改变Docker内核情况下就可以加固现有的容器。