Docker 是基于 Linux 内核的 Namespace 技术实现资源隔离的,所有容器都共享主机的内核
尽管目前 Namespace 已经提供了非常多的资源隔离类型,但是仍然有部分关键内容没有完全隔离。其中包括一些系统的关键性目录(eg: /sys /proc)
安全问题解决
- User namespace : 主要用来做容器内用户和主机的用户隔离
- 保障镜像安全: 私有镜像进行安全检查,拉取镜像使用 https 和受信任的镜像仓库
- 及时升级宿主机内核
- 使用安全加固组件 : selinux , AppArmor(控制用户的访问权限), GRSecurity(只能访问控制,提供内存破坏防御,文件系统增强等多种防御形式)。
- 进行资源限制
- 使用安全容器 (每个容器都运行在一个单独的微型虚拟机中,拥有独立的操作系统和内核)(eg: Kata Container)
- 及时升级 docker 组件