Registry 原理 什么是 Docker Registry Docker Registry 是存储和分发 Docker 镜像的服务。它是 Docker 架构中不可或缺的组件，负责管理镜像的存储、版本控制和分发。 Registry 的工作流程 开发...

Rootless 模式 什么是 Rootless 模式 Rootless 模式允许 Docker 守护进程（dockerd）和容器以非 root 用户身份运行，极大地降低了容器逃逸的风险。在这个模式下，即使攻击者获得了容器内 root ...

生产环境安全加固 安全加固框架 Docker 生产环境安全加固是一个系统工程，涉及守护进程配置、容器运行时安全、镜像管理、网络安全和访问控制等多个层面。 1. 守护进程安全配置 daemon.json 安全...

供应链攻击防御 什么是容器供应链攻击 容器供应链攻击是指攻击者通过污染容器镜像的构建过程，将恶意代码注入到最终交付的镜像中。这些攻击可以发生在镜像生命周期的任何一个环节：从基础镜像选...

镜像签名与内容信任 什么是镜像签名 镜像签名（Image Signing）是通过密码学手段验证 Docker 镜像的发布者和内容完整性的机制。它确认了： 1. 谁发布了这个镜像（身份认证） 2. 镜像内容未被篡...

敏感信息 Secret 管理 为什么需要 Secret 管理 在容器化应用中，敏感信息无处不在：数据库密码、API 密钥、TLS 证书、OAuth token 等。将它们硬编码在 Dockerfile、环境变量或源代码中是常见的...

容器逃逸防范 什么是容器逃逸 容器逃逸（Container Escape）是指攻击者从容器内部突破隔离，获得宿主机操作系统访问权限的攻击行为。这是容器安全中最严重的事件之一。 常见的逃逸路径 1. Docke...

AppArmor 和 SELinux 什么是强制访问控制 AppArmor 和 SELinux 都是 Linux 的强制访问控制（MAC，Mandatory Access Control）机制。相比传统的自主访问控制（DAC，读/写/执行权限），MAC 提供了...

特权容器风险 什么是特权容器 特权容器（Privileged Container）是通过 --privileged 参数创建的容器。这个标志赋予了容器几乎所有的宿主机的权限——打破了大多数 Docker 的安全隔离机制。 --p...

Seccomp 安全 什么是 Seccomp Seccomp（Secure Computing Mode）是 Linux 内核的安全功能，用于限制进程可以使用的系统调用（syscalls）。Docker 默认使用 seccomp 来限制容器可以调用的系统调...