将想要的状态,
以“彩色”在大脑中呈现!

标签:安全

Docker 从入门到实践

总结

ProMonkey阅读(301)评论(0)赞(0)

总体来看,Docker 容器还是十分安全的,特别是在容器内不使用 root 权限来运行进程的话。 另外,用户可以使用现有工具,比如 Apparmor, Seccomp, SELinux, GRSEC 来增强安全性;甚至自己在内核中实现更复杂...

Docker 从入门到实践

其它安全特性

ProMonkey阅读(312)评论(0)赞(0)

除了能力机制之外,还可以利用一些现有的安全机制来增强使用 Docker 的安全性,例如 TOMOYO, AppArmor, Seccomp, SELinux, GRSEC 等。 Docker 当前默认只启用了能力机制。用户可以采用多种方案来...

Docker 从入门到实践

内核能力机制

ProMonkey阅读(291)评论(0)赞(0)

能力机制(Capability)是 Linux 内核一个强大的特性,可以提供细粒度的权限访问控制。Linux 内核自 2.2 版本起就支持能力机制,它将权限划分为更加细粒度的操作能力,既可以作用在进程上,也可以作用在文件上。 例如,一个 W...

Docker 从入门到实践

服务端防护

ProMonkey阅读(321)评论(0)赞(0)

运行一个容器或应用程序的核心是通过 Docker 服务端。Docker 服务的运行目前需要 root 权限,因此其安全性十分关键。 首先,确保只有可信的用户才可以访问 Docker 服务。Docker 允许用户在主机和容器间共享文件夹,同时...

Docker 从入门到实践

控制组

ProMonkey阅读(335)评论(0)赞(0)

控制组是 Linux 容器机制的另外一个关键组件,负责实现资源的审计和限制。 它提供了很多有用的特性;以及确保各个容器可以公平地分享主机的内存、CPU、磁盘 IO 等资源;当然,更重要的是,控制组确保了当容器内的资源使用产生压力时不会连累主...

Docker 从入门到实践

内核命名空间

ProMonkey阅读(297)评论(0)赞(0)

Docker 容器和 LXC 容器很相似,所提供的安全特性也差不多。当用 docker run 启动一个容器时,在后台 Docker 为容器创建了一个独立的命名空间和控制组集合。 命名空间提供了最基础也是最直接的隔离,在容器中运行的进程不会...

聚合实用在线工具

前往在线工具