我读到Docker可以用作安全机制(将应用程序与主机系统完全隔离),只要应用程序不在Docker容器内以root权限运行。
我还读到如果你在特权模式下运行容器,你基本上放弃了任何安全/隔离的好处。这是否意味着即使在特权模式容器中运行的非root应用程序也可能对主机系统有潜在危害(安全性)?
低级别Docker专家的回答表示赞赏!
答案 0 :(得分:1)
安全细节在this article中讨论,这非常有用。 newly-released Docker V1.2.0允许您使用" - cap-drop"来限制特权容器的功能。和" - cap-add"选项。