第19章　安全防护与配置

Docker是基于Linux操作系统实现的应用虚拟化。运行在容器内的进程，跟运行在本地系统中的进程本质上并无区别，配置不合适的安全策略将可能给本地系统带来安全风险。因此，Docker的安全性在生产环境中是十分关键的衡量因素。

Docker容器的安全性，很大程度上依赖于Linux系统自身。目前，在评估Docker的安全性时，主要考虑下面几个方面：

·Linux内核的命名空间机制提供的容器隔离安全；

·Linux控制组机制对容器资源的控制能力安全；

·Linux内核的能力机制所带来的操作权限安全；

·Docker程序（特别是服务端）本身的抗攻击性；

·其他安全增强机制（包括AppArmor、SELinux等）对容器安全性的影响；

·通过第三方工具（如Docker Bench工具）对Docker环境的安全性进行评估。

本章就针对这几个方面进行讨论。