28、Docker 安全与网络高级配置全解析
Docker 安全与网络高级配置全解析
1. 测试 Seccomp 配置文件
现在可以测试新精细调整的 Seccomp 配置文件了。使用以下命令:
$ docker run -ti --rm --security-opt=seccomp:strace.json \ spkane/train-os:latest strace whoami如果一切按计划进行,whoami程序的strace应该能完美运行,这意味着容器仅被赋予了完成任务所需的精确权限。也可以通过设置--security-opt=seccomp:unconfined完全禁用默认的安全计算模式配置文件,但通常不建议这样做,仅在确定配置文件中需要定义哪些系统调用时有用。安全计算模式的优势在于,用户可以更有选择性地控制容器对底层 Linux 内核的操作。
2. SELinux 和 AppArmor
容器由 cgroups、命名空间以及 SELinux 或 AppArmor 组成。SELinux(安全增强型 Linux)源自美国国家安全局,被红帽广泛采用,支持非常细粒度的控制。AppArmor 旨在实现与 SELinux 类似的目标,但复杂度较低,它于 1998 年首次出现在 Immunix Linux 发行版中。
在支持的平台上,Docker 默认启用合理的配置文件。在 Ubuntu 系统上,AppArmor 被启用并配置;在红帽系统上,SELinux 被设置。可以进一步配置这些