如何保护Docker容器的安全？

Question

如何保护Docker容器的安全？

Accepted Answer

保护Docker涉及多个层面 — **最小化和可信的镜像**、**以非root用户身份运行**、**漏洞扫描**、**密钥管理**、**资源和权限限制**以及**主机/守护进程加固**。容器安全很重要，因为漏洞会影响容器和主机。

## Image security

```text
✓ Use MINIMAL base images (alpine, distroless) → fewer packages = smaller attack surface
✓ Use TRUSTED/official images; pin specific versions/DIGESTS (not "latest")
✓ SCAN images for vulnerabilities (Trivy, docker scout, Snyk) — in CI and regularly
✓ Keep base images UPDATED (patch known CVEs)
✓ Don't include secrets or unnecessary tools in images
```

## Runtime security

```text
✓ Run as NON-ROOT (USER instruction) — a root container that's compromised is far more
  dangerous (especially with host access). This is one of the most important practices.
✓ Drop capabilities (--cap-drop ALL, add only needed ones) — limit what the container can do
✓ Read-only filesystem (--read-only) where possible
✓ no-new-privileges (prevent privilege escalation)
✓ Set RESOURCE LIMITS (prevent DoS from resource exhaustion)
✓ NEVER run --privileged unless absolutely necessary (it gives near-host access)
```

## Secrets and host security

```text
✓ Don't bake secrets into images; use secrets management at runtime
✓ Protect the DOCKER DAEMON — the daemon runs as root; access to it = root on the host
  (don't expose the Docker socket; mounting /var/run/docker.sock into a container is risky)
✓ Keep the host and Docker engine PATCHED; use minimal/hardened host OS
✓ Isolate networks; limit container-to-container and container-to-host access
✓ Consider rootless Docker / user namespaces for stronger isolation
```

## 为什么这很重要

保护Docker容器是重要的高级知识，因为容器漏洞会影响容器和**主机**，使安全成为一个多层次的关注点，具有真实的后果。**镜像安全**实践（使用最小化/可信基础镜像来减少攻击面、固定版本、**扫描漏洞**来捕捉已知CVE、保持镜像更新）可以防止出现可被利用的镜像 — 这是常见的漏洞来源。**运行时安全**特别关键：**以非root身份运行**是最重要的实践之一，因为被攻破的root容器危险得多（可能导致主机被攻破），而**删除权限**、使用只读文件系统、防止权限提升和**绝不使用`--privileged`**除非绝对必要（它授予近乎主机级的访问权限）都限制了攻击者在容器被破坏时能做的事情 — 深度防御。**密钥管理**（绝不将密钥烘焙到镜像中、使用运行时密钥）防止凭据泄露。**主机和守护进程安全**至关重要但经常被忽视：**Docker守护进程以root身份运行**，因此对它的访问（或Docker套接字）实际上意味着**对主机的root访问** — 使保护守护进程、不暴露Docker套接字和保持主机补丁更新至关重要，rootless Docker和用户命名空间提供更强的隔离。

由于容器共享主机内核（所以容器逃逸或主机被攻破会有严重后果）且容器化应用在生产中无处不在，由于适当的安全措施（最小化/扫描的镜像、非root运行时加有限权限、密钥管理和守护进程/主机加固）是防止真实容器和主机被攻破的方法，理解如何保护Docker容器是重要的高级知识 — 这是生产容器部署的关键责任，其中分层实践（特别是非root执行和保护root特权守护进程）解决了容器化固有的真实、严重的安全风险。