我很好奇 Docker 是如何用于托管 VPS 的?
例如,我知道它的启动速度非常快,但我听说 Docker 的安全性不足以阻止人们进入主系统……公司如何确保 Docker 作为 VPS 的安全(具体)?
另外,我尝试升级到主系统,但没有成功,人们是如何破坏Docker的?
编辑
显然,对于那些想要为某些用户启动一个隔离环境的人来说,Docker 并不是一个解决方案......所以我的问题将转变为: 公司使用什么来让他们启动一个隔离的环境迅速地?
答案1
我从未见过有人将它用于类似的事情,而且肯定不推荐这样做。他们已经做出了一些重大改进,包括使用 SELinux 自动为每个 Docker 容器添加 MCS 标签,并大大减少了授予 Docker 进程的内核功能数量。但是,由于 Linux 本身并不提供所有组件的命名空间隔离,因此可能会有方法突破容器。使用 USER 指令降低 Docker 容器的权限可能有助于进一步降低风险,但并不是完美的解决方案。由于没有运行虚拟机管理程序,您将直接调用内核,从而使主机容易受到本地特权升级攻击。最重要的是,Docker 的创建者不建议这样做,而且我还没有看到任何人声称他们这样做。以下是有关一些潜在攻击途径的更多详细信息:http://opensource.com/business/14/9/security-for-docker