第一章: 何为容器

容器相比虚拟机的优点

• 与主机共享资源，性能损耗非常低
• 移植性更好
• 轻量
• 资源多，用户使用友好

第十三章: 容器安全与限制容器

需要考虑到的安全事项

• 内核漏洞: 所有容器与主机同一个内核
• 拒绝服务(Dos)攻击: 所有容器共用相同的内核资源
• 容器突破: 权限
• 镜像污染
• 秘钥泄漏

可以做如下的事情

• 最小权限
  • 确保容器中进程权限不是root
  • 文件系统设置为只读，需要写入的文件以数据卷的形式使用
  • 减小容器能够调用的内核函数
  • 限制容器使用的资源数: CPU和内存
  • 使用gosu 不要使用sudo
• 及时更新
• 可信任的dockerfile
  • FROM指令中必须使用标签
  • 使用包管理安装软件时提供版本号
  • 验证任何从网上下载的软件或者数据:比如在RUN命令里面用md5进行验证
• 限制联网权限
• 如果不需要，删除setuid和setgid的二进制文件: find / -perm +6000 -type f -exec ls -ld {} \; 2> /dev/null
• 限制重新启动次数