Docker最新安全性能调整分析
本文讲的是Docker最新安全性能调整分析, 【编者的话】作者通过对Docker的最新安全更新的深入分析与探索,总结了四条有关Docker安全更新的调整建议,包括调整能力、调整SELinux的标签、多级安全模式、调整命名空间。 自我发表前两篇有关Docker安全系列的文章之后,至今已有一段时间。本文更新了自那以后有关Docker的新增内容,并且介绍了全新功能,其中涵盖了与上游Docker的合并过程。 调整能力 在前面的文章中,我介绍了基于Linux功能的容器分离。 借助Linux功能,你可以分离根用户权限,形成更小的特权群。目前,在默认情况下,Docker容器只拥有以下功能。 CHOWN,DAC_OVERRIDE,FSETID,FOWNER,MKNOD,NET_RAW, SETGID,SETUID,SETFCAP,SETPCAP,NET_BIND_SERVICE, SYS_CHROOT,KILL,AUDIT_WRITE 在某些情况下,你可能要调整此列表,例如,如果你正在构建一个运行 ntpd 或 crony 的容器,那么需要能够修改主机的系统时间。由于需要 CAP_SYS_TIME ,...
