Docker相对于LXC/systemd产卵的攻击面是否有显著不同？

Question

在选择和应用程序容器解决方案与OS容器解决方案之间选择的一个决策点是安全性。我没有足够的知识来比较和对比这两种情况。我想它们是不同的，但是其中一种比另一种更开放吗？

Answer 1

从安全的角度来看，在我看来，rkt也值得考虑。

例如，请参阅CoreOS的rkt到替代容器系统的有点武断的比较。

正如他们所指出的，码头现在使用的是引擎盖下的容器，并且在集装箱的运行过程中提供了大量的“东西”--我倾向于认为额外的设备可能会比更多的基本系统(比如容器)引入更多的攻击面。

您还应该记住，通过适当增强内核(例如PaX)和系统(如seLinux)，可以增强所列出的解决方案的安全性(如果不是全部的话)。