删除所有开发工具(编译器等)
更新系统源
启用 AppArmor
启用 SELinux
限制运行容器的内核功能
移除依赖构建
配置严格的网络访问控制策略
不使用root用户启动docker
不以privileged特权模式运行容器
CPU Share
CPU 核数
内存资源
IO 资源
磁盘资源
硬件资源
单位时间内进程数量上限
使用安全的基础镜像
定期安全扫描和更新补丁
RUN find / -perm +6000-type f-exec chmod a-s {} \;|| true
配置Docker守护程序的TLS身份验证
如非必要 禁止容器间通信
使用 Seccomp 限制 syscall
构建环境和在线环境分开
证书校验