Rewrite the other security feature part and security summary part
parent
07edb7e3c1
commit
ed2750776a
|
@ -1,7 +1,7 @@
|
|||
Docker —— 从入门到实践
|
||||
===============
|
||||
|
||||
v0.2.1
|
||||
v0.2.2
|
||||
|
||||
[Docker](docker.com)是个伟大的项目,它彻底释放了虚拟化的威力,让应用的分发、部署和管理都变得前所未有的高效和轻松!
|
||||
|
||||
|
|
|
@ -57,8 +57,8 @@
|
|||
* [控制组](security/control_group.md)
|
||||
* [服务端防护](security/daemon_sec.md)
|
||||
* [内核能力机制](security/kernel_capability.md)
|
||||
* [其他内核安全特性](security/other_feature.md)
|
||||
* [结论](security/summary.md)
|
||||
* [其它安全特性](security/other_feature.md)
|
||||
* [总结](security/summary.md)
|
||||
* [底层实现](underly/README.md)
|
||||
* [基本架构](underly/arch.md)
|
||||
* [名字空间](underly/namespace.md)
|
||||
|
|
|
@ -1,9 +1,9 @@
|
|||
##其它内核安全特性
|
||||
Capabilities是现代linux内核提供的诸多安全特性中的一个,Docker可以利用现有的如TOMOYO, AppArmor, SELinux, GRSEC来增强安全性。
|
||||
##其它安全特性
|
||||
除了能力机制之外,还可以利用一些现有的安全机制来增强使用Docker的安全性,例如TOMOYO, AppArmor, SELinux, GRSEC等。
|
||||
|
||||
为什么Docker当前只启用capabilities,而不介入其他系统。
|
||||
因为这样就可以有很多方法来加固Docker主机,下面是一些例子。
|
||||
* 可以在内核中加载GRSEC和PAX,这会增加很多安全检查。
|
||||
* 可以使用一些有增强安全特性的发行版的模板,比如带apparmor的模板和redhat系列带selinux dcoker策略,这些模板提供了额外的安全特性。
|
||||
* 使用你自己喜欢的访问控制机制来定义你自己的安全策略。
|
||||
像其他添加到docker容器的第三方工具一样(比如网络拓扑和文件系统共享),有很多这样的工具,利用他们可以不用改变docker内核就可以加固现有的docker容器
|
||||
Docker当前默认只启用了能力机制。用户可以采用多种方案来加强Docker主机的安全,例如:
|
||||
* 在内核中启用GRSEC和PAX,这将增加很多编译和运行时的安全检查;通过地址随机化避免恶意探测等。并且,启用该特性不需要Docker进行任何配置。
|
||||
* 使用一些有增强安全特性的容器模板,比如带AppArmor的模板和Redhat带SELinux策略的模板。这些模板提供了额外的安全特性。
|
||||
* 用户可以自定义访问控制机制来定制安全策略。
|
||||
|
||||
跟其它添加到Docker容器的第三方工具一样(比如网络拓扑和文件系统共享),有很多类似的机制,在不改变Docker内核情况下就可以加固现有的容器。
|
||||
|
|
|
@ -1,4 +1,4 @@
|
|||
##结论
|
||||
Docker容器默认还是比较安全的,特别是你如果注意在容器中使用非root权限来允许进程的话。你还可以添加额外的比如Apparmor, SELinux, GRSEC等你熟悉的加固方法。
|
||||
##总结
|
||||
总体来看,Docker容器还是十分安全的,特别是在容器内不使用root权限来运行进程的话。
|
||||
|
||||
最后,如果你对其他容器系统中的安全特性感兴趣,你也可以在Docker中实现它,毕竟,所有的东西都已经在内核中了。
|
||||
另外,用户可以使用现有工具,比如Apparmor, SELinux, GRSEC来增强安全性;甚至自己在内核中实现更复杂的安全机制。
|
||||
|
|
Loading…
Reference in New Issue