Docker其它安全特性

除了能力機(jī)制之外，還可以利用一些現(xiàn)有的安全機(jī)制來增強(qiáng)使用 Docker 的安全性，例如 TOMOYO, AppArmor, SELinux, GRSEC 等。

Docker 當(dāng)前默認(rèn)只啟用了能力機(jī)制。用戶可以采用多種方案來加強(qiáng) Docker 主機(jī)的安全，例如：

• 在內(nèi)核中啟用 GRSEC 和 PAX，這將增加很多編譯和運(yùn)行時(shí)的安全檢查；通過地址隨機(jī)化避免惡意探測(cè)等。并且，啟用該特性不需要 Docker 進(jìn)行任何配置。
• 使用一些有增強(qiáng)安全特性的容器模板，比如帶 AppArmor 的模板和 Redhat 帶 SELinux 策略的模板。這些模板提供了額外的安全特性。
• 用戶可以自定義訪問控制機(jī)制來定制安全策略。

跟其它添加到 Docker 容器的第三方工具一樣（比如網(wǎng)絡(luò)拓?fù)浜臀募到y(tǒng)共享），有很多類似的機(jī)制，在不改變 Docker 內(nèi)核情況下就可以加固現(xiàn)有的容器。