在享受容器带来的轻量与灵活的同时，我们也必须面对一个现实问题：安全隐患。
容器并不是天然安全，错误配置甚至可能让攻击者“越狱”入侵主机！本篇将带你从多个层面强化 Docker 的安全防护，构建真正可放心上线的容器系统

一、用户隔离与容器逃逸风险

虽然容器技术看起来像虚拟机，但它本质上还是运行在宿主机上的进程隔离技术。

常见风险：

• 默认容器运行在 root 用户 下，权限过高
• 错误挂载主机目录，可能泄露主机敏感数据
• 部分内核漏洞可被利用，造成“容器逃逸”

建议做法：

• 使用非 root 用户运行容器
• 避免挂载敏感目录（如 /etc/, /var/run/docker.sock）
• 定期升级宿主机内核，打补丁

二、最小权限原则：不给多一分权限

“只给程序完成工作所必需的最小权限” 是一切系统安全的核心原则。

在 Docker 中可以通过 功能控制（Capability） 来精细化控制容器的能力。

三、使用--cap-drop限制容器权限

Linux 系统为进程划分了约 30 多种 Capabilities，Docker 默认会给予容器一整套，但其实很多容器根本不需要这么多权限。

示例：运行一个最小权限容器

docker run --cap-drop ALL --cap-add NET_BIND_SERVICE nginx

含义：

• --cap-drop ALL：先移除所有默认权限
• --cap-add NET_BIND_SERVICE：只加回 nginx 绑定低端口所需权限

四、使用 Seccomp 限制系统调用

Seccomp（Secure Computing Mode）是一种 Linux 内核安全特性，用于控制容器内程序可以调用哪些系统调用（syscalls）。

启用自定义 seccomp 配置：

docker run --security-opt seccomp=/path/to/seccomp-profile.json nginx

Docker 默认已经启用了一份较为严格的 seccomp 策略，大多数应用已足够使用。但你可以根据业务自定义更严的策略

官方文档地址：

https://docs.docker.com/engine/security/seccomp/

五、镜像安全扫描工具推荐

即使容器配置正确，如果你拉取的镜像本身存在漏洞，也会造成严重隐患。

以下是几个主流镜像安全扫描工具，推荐在 CI/CD 阶段集成使用：

1.Trivy（推荐）

• 支持镜像、本地文件、Git 仓库扫描
• 能识别系统漏洞、语言依赖库漏洞
• 开源免费，支持 CLI、CI/CD、Web UI

trivy image nginx:latest

2. Clair（CoreOS 出品）

• 支持静态分析镜像层
• 与 Harbor 等私有镜像仓库配合良好

3. Docker Hub 的自动扫描功能（需登录）

• 部分镜像自动启用漏洞扫描
• 适合小团队简单监测，但灵活性较弱

六、额外的安全增强建议

示例：启动一个高度隔离的 Nginx 容器

docker run -d \
  --name secure-nginx \
  --cap-drop ALL \
  --cap-add NET_BIND_SERVICE \
  --read-only \
  --security-opt no-new-privileges:true \
  nginx

你已经做到了：

• 非特权运行
• 限制系统调用
• 最小能力集
• 文件系统只读

这才是真正“安全容器”的正确打开方式

总结回顾