容器安全加固 建议用户在生产环境中进行如下操作,加固镜像。 在基础镜像中创建非root用户,并且以非root用户启动镜像、启动进程,同时仅授予用户必要的capability,避免高权限用户造成容器逃逸等安全风险。 合理控制镜像中文件的属主和权限,避免不必要的越权访问造成容器逃逸等安全风险。 及时修复基础镜像中的漏洞。 分发镜像时,建议开启Docker的Content trust功能。
