在生產(chǎn)環(huán)境中，強(qiáng)化Docker容器的一種方法就是使它們不可變，也就是只讀。安全地運(yùn)行容器的其他方法還包括最小化受攻擊面和應(yīng)用Linux安全過程，標(biāo)準(zhǔn)Linux安全過程和針對容器環(huán)境的特定過程都要應(yīng)用。

在啟動(dòng)容器時(shí)傳入--read-only標(biāo)記就可以 在只讀模式下運(yùn)行 它。這可以防止任何進(jìn)程寫入文件系統(tǒng)。任何試圖寫入的動(dòng)作都會(huì)導(dǎo)致錯(cuò)誤。 運(yùn)行這種不可變的基礎(chǔ)設(shè)施 也與其他軟件部署流水線的最佳實(shí)踐相吻合。

盡管不可變性可以阻止任何惡意腳本的執(zhí)行，可以禁止通過在容器里運(yùn)行的其他軟件暴露出來的漏洞而引起的改動(dòng)。但是在現(xiàn)實(shí)生產(chǎn)環(huán)境中，這種模式又是不是適用于應(yīng)用程序呢？比如，要產(chǎn)生的日志文件和要使用數(shù)據(jù)庫的應(yīng)用程序就需要可寫性。

寫日志的一個(gè)可能的解決方案可以是使用一個(gè)集中的日志系統(tǒng)，比如Elasticsearch/Logstash/Kibana（ELK），這樣所有的日志都被收集在一個(gè)中心節(jié)點(diǎn)，可能是在另一個(gè)容器中，就不是用戶可以直接訪問的了。另一種替代的方案是在啟動(dòng)容器時(shí)，通過使用--log-driver標(biāo)記將日志導(dǎo)出到容器之外。對于那些需要對/tmp之類的臨時(shí)目錄有寫入權(quán)限的應(yīng)用程序，一種解決辦法是在容器里為這些目錄 加載一個(gè)臨時(shí)的文件系統(tǒng) 。

終端用戶不能直接訪問數(shù)據(jù)庫，所以風(fēng)險(xiǎn)較低。然而，這并不排除受到攻擊的可能，除非面對用戶的應(yīng)用程序得到了強(qiáng)化。

在不可避免地要有一個(gè)可寫的文件系統(tǒng)的情況下，Docker提供了審計(jì)和變化的回滾功能。在Docker容器里的文件系統(tǒng)是作為一系列層的堆疊。當(dāng)創(chuàng)建一個(gè)新容器時(shí)，將在頂部添加一個(gè)新層，該層可以寫入。Docker存儲(chǔ)驅(qū)動(dòng)程序隱藏了這些細(xì)節(jié)，并將它作為一個(gè)普通的文件系統(tǒng)交付給用戶。對正在運(yùn)行的容器的寫入將寫入此新層。這通常被稱為寫時(shí)拷貝（Copy-On-Write，COW）。

在Docker容器里很容易檢測到配置漂移或預(yù)期的配置變更。“docker diff”命令可以顯示對文件系統(tǒng)的更改——無論更改操作是文件添加、刪除還是修改。

除了在可能的情況下運(yùn)行一個(gè)只讀容器，我們 還 提出以下 建議 ，以確保在生產(chǎn)環(huán)境中容器的安全：

• 運(yùn)行一個(gè) Alpine Linux 之類的最小的鏡像，Alpine Linux是基于安全思想而設(shè)計(jì)的。它的內(nèi)核上打了一個(gè)grsecurity的非官方移植的補(bǔ)丁。 Grsecurity 是一套對Linux內(nèi)核的安全增強(qiáng)方法，它包括權(quán)限控制以及消除基于漏洞的內(nèi)存崩潰的可能，具體方法是將那些使系統(tǒng)可能被攻擊的方法減少到最少。
• 限制對CPU、RAM等資源的使用，以防止DoS攻擊。
• 在操作系統(tǒng)中配置線程和進(jìn)程限制。
• 采用sysctl之類標(biāo)準(zhǔn)的Linux內(nèi)核強(qiáng)化程序。
• 每個(gè)容器中只運(yùn)行一個(gè)應(yīng)用程序。建議這么做，是因?yàn)樗鼫p小了受攻擊面，即對于一個(gè)給定的容器，可能的漏洞數(shù)量就只取決于在該容器上運(yùn)行的應(yīng)用程序了。