Docker容器安全的六条建议

Docker的安全一直被业内诟病，由于其天生的隔离性差，所以更加需要关注容器的安全。下面提供六条Docker相关的安全建议。

第一是使用精简镜像，越是精简的系统漏洞越少，尽量不要在容器里面安装过多的第三方应用。甚至bash也不是必须的。

第二需要定时对容器镜像进行安全扫描，找出存在漏洞的镜像并加以修复。还可以对镜像进行签名，防止镜像被篡改。

第二是非root方式运行容器，这包括两个方面，首先是要求Docker Engine本身以非root方式启动，Docker Daemon已经支持Rootless。其次是Docker容器中以非root方式启动应用。Docker容器中默认都是root方式启动应用，很容易造成提权漏洞，为此建议在Dockerfile中通过USER命令指定一个普通用户启动。如下所示：

RUN groupadd -r test &&useradd -r -s /bin/false -g test test
WORKDIR /app
RUN chown -R test:test /app
USER test

第四是构建镜像使用COPY而非ADD，由于ADD支持从公网链接中下载第三方包，而这个包很有可能被篡改引发安全问题。这个已经在之前的文章 Dockerfile中ADD和COPY区别 中分析了。

第五，借助多阶段构建，避免使用构建镜像作为基础镜像，因为构建过程中会引入各种三方依赖。

第六，尽量使用带小版本号的镜像，譬如 centos 7.1 会修复一些centos 7 里面的漏洞，使用带小版本号的镜像通常更安全，小版本号越大越好。