日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

運行一個容器或應用程序的核心是通過 Docker 服務端。Docker 服務的運行目前需要 root 權限，因此其安全性十分關鍵。

阿里地區(qū)ssl適用于網(wǎng)站、小程序/APP、API接口等需要進行數(shù)據(jù)傳輸應用場景，ssl證書未來市場廣闊！成為創(chuàng)新互聯(lián)公司的ssl證書銷售渠道，可以享受市場價格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：028-86922220（備注：SSL證書合作）期待與您的合作！

首先，確保只有可信的用戶才可以訪問 Docker 服務。Docker 允許用戶在主機和容器間共享文件夾，同時不需要限制容器的訪問權限，這就容易讓容器突破資源限制。例如，惡意用戶啟動容器的時候?qū)⒅鳈C的根目錄/映射到容器的 /host 目錄中，那么容器理論上就可以對主機的文件系統(tǒng)進行任意修改了。這聽起來很瘋狂？但是事實上幾乎所有虛擬化系統(tǒng)都允許類似的資源共享，而沒法禁止用戶共享主機根文件系統(tǒng)到虛擬機系統(tǒng)。

這將會造成很嚴重的安全后果。因此，當提供容器創(chuàng)建服務時（例如通過一個 web 服務器），要更加注意進行參數(shù)的安全檢查，防止惡意的用戶用特定參數(shù)來創(chuàng)建一些破壞性的容器

為了加強對服務端的保護，Docker 的 REST API（客戶端用來跟服務端通信）在 0.5.2 之后使用本地的 Unix 套接字機制替代了原先綁定在 127.0.0.1 上的 TCP 套接字，因為后者容易遭受跨站腳本攻擊?，F(xiàn)在用戶使用 Unix 權限檢查來加強套接字的訪問安全。

用戶仍可以利用 HTTP 提供 REST API 訪問。建議使用安全機制，確保只有可信的網(wǎng)絡或 VPN，或證書保護機制（例如受保護的 stunnel 和 ssl 認證）下的訪問可以進行。此外，還可以使用 HTTPS 和證書來加強保護。

最近改進的 Linux 名字空間機制將可以實現(xiàn)使用非 root 用戶來運行全功能的容器。這將從根本上解決了容器和主機之間共享文件系統(tǒng)而引起的安全問題。

終極目標是改進 2 個重要的安全特性：

• 將容器的 root 用戶映射到本地主機上的非 root 用戶，減輕容器和主機之間因權限提升而引起的安全問題；
• 允許 Docker 服務端在非 root 權限下運行，利用安全可靠的子進程來代理執(zhí)行需要特權權限的操作。這些子進程將只允許在限定范圍內(nèi)進行操作，例如僅僅負責虛擬網(wǎng)絡設定或文件系統(tǒng)管理、配置操作等。

最后，建議采用專用的服務器來運行 Docker 和相關的管理服務（例如管理服務比如 ssh 監(jiān)控和進程監(jiān)控、管理工具 nrpe、collectd 等）。其它的業(yè)務服務都放到容器中去運行。

名稱欄目：創(chuàng)新互聯(lián)Docker教程：Docker服務端防護
標題URL：http://m.5511xx.com/article/codgpig.html