在CentOS中保障Docker安全可从以下方面入手:
--privileged
模式,避免容器获取宿主机级权限。--cap-drop ALL --cap-add NET_BIND_SERVICE
。--security-opt="no-new-privileges"
防止容器提权。/proc
、/sys
),使用--read-only
设置容器文件系统为只读。--security-opt apparmor=docker-default
。latest
标签,定期用Trivy等工具扫描漏洞。--cpus
、--memory
限制容器资源,使用Cgroups隔离CPU、内存等资源。参考来源: