以安全方式运行Docker

只有信任的用户才应该被允许控制您的Docker守护程序。这是一些强大的Docker功能的直接结果。

具体来说，Docker允许您在Docker主机和guest容器之间共享目录；并且它允许您这样做而不限制容器的访问权限。

如果您公开了REST API，则应通过https进行。

最后，如果您在服务器上运行Docker，则建议您在服务器中仅运行Docker，并将所有其他服务移至由Docker控制的容器中

有关VM，请参见"Docker容器真的安全吗？"

最大的问题是Linux中的所有内容都没有命名空间。目前，Docker使用五个命名空间来更改进程对系统的视图：进程、网络、挂载、主机名、共享内存。

虽然这些为用户提供了一定级别的安全性，但绝非全面，如基于内核的虚拟机（KVM）。
在KVM环境中，虚拟机中的进程不直接与主机内核通信。它们没有任何访问内核文件系统（如/sys和/sys/fs、/proc/*）的权限。

以下是几项从安全角度遵循的最佳实践：

1. 优先选择最小化的基础镜像：您选择的基础镜像可能存在漏洞，在选择基础镜像之前，可以查找安全漏洞。选择最小的基础镜像可能会确保漏洞较少。
2. 最小化权限：如果在Dockerfile中没有指定用户，则默认情况下使用root特权运行容器。为限制访问权限，请在 docker image 中创建专用用户和用户组。
3. 对镜像进行签名和验证：我们在生产环境中运行docker镜像，因此在使用之前身份验证docker镜像非常重要。您应该对docker镜像进行签名，并在运行之前进行验证。
4. 使用安全软件和 linters ：使用安全软件扫描 Docker 镜像中的任何漏洞，您也可以使用 linter 对 Dockerfile 进行静态分析，并在存在安全漏洞时发出警告。
5. 不要将敏感信息泄露到 Docker 镜像中：秘密必须保留在 Dockerfile 之外。如果复制有关秘密的信息，则它们将缓存在中间docker容器上，为避免此问题，您可以使用多阶段构建或docker秘密命令。

致谢：感谢Liran Tal和Omer Levi Hevroni的博客。我从中学到了这些最佳实践，请访问该网站获取更多细节和其他的最佳实践。