14.4　Docker外部的安全性

宿主机上的安全性不仅在于使用 docker 命令。在本节中读者会看到另外一些保障Docker容器安全的方式，这次是来自Docker以外的。

我们要展示一些修改你的镜像的技巧，当镜像运行起来的时候可以减少一些外部攻击的攻击面。接下来的两个技巧考虑了如何以受限方式运行容器。

这两个技巧中，第一个技巧展示了“应用程序平台即服务”（application platform as a service，aPaaS）的方式，它采用严加约束并受到管理员控制的方式运行Docker。作为例子，我们用Docker命令运行一个OpenShift Origin服务器（一个以可控的方式部署Docker的aPaaS）。我们会看到最终用户的能力会受到管理员的限制和管理，对于Docker运行时的访问也可以移除了。

第二种方式不只是这种程度的安全性，它使用SELinux（一个可以限制谁可以做什么的细粒度的安全技术）来进一步限制了运行中的容器内部的自由。

提示

SELinux是一个由美国国家安全局（the United States’ National Security Agency，NSA）创建并开源的工具，它满足了他们对于强访问控制的需求。至今为止它成为安全标准已经有段时间了，并且十分强大。但是，很多人遇到问题的时候都直接把它关了，而不是花时间来理解它。我们希望在这里展示的技巧能够让这种方式不那么让人望而却步。