避免共享模式：Docker容器安全最佳实践

本篇文档详细介绍了在苹果iOS 11设计规范中关于Docker容器的安全设置，特别是关于"设置装载传播模式不共享"的部分。装载传播模式是Docker中用于管理容器间数据卷共享的方式，主要有三种模式：shared（共享）、slave（从属）和private（私有）。共享模式允许容器之间自由访问和修改数据卷，但出于安全考虑，强烈建议避免在对数据卷变更敏感的场景中使用共享模式，因为这可能导致数据意外丢失或被破坏。 安全最佳实践建议： 1. **限制传播模式**：除非必要，应将容器装载模式设置为private，以确保每个容器只能访问自己独立的数据卷，防止意外的跨容器数据交互。 2. **审计检查**：通过`docker inspect`命令检查容器的传播模式，确保没有误设置为共享模式，以便及时发现和纠正问题。 3. **修复措施**：不推荐以共享模式启动容器，例如避免使用`docker run`命令中的`--volume=hostPath:containerPath:shared`选项。 同时，文档也提到了Docker容器安全的一般性最佳实践，包括但不限于： - 为容器创建独立的分区以隔离资源。 - 对容器宿主机进行加固，如更新到最新版本的Docker，仅授权受信任用户管理docker守护进程。 - 严格审计docker的相关配置文件和目录，确保安全设置的有效性和完整性。 - 配置网络安全，如限制容器间的网络流量，启用TLS身份验证等。 - 避免使用不安全的镜像仓库和不推荐的存储驱动（如aufs）。 - 启用用户命名空间和适当的资源限制（ulimit）。 - 使用默认cgroup和合理的容器空间大小。 - 授权docker客户端命令，实施集中和远程日志记录。 - 避免在旧版本仓库（如v1）上执行操作，并启用实时恢复和禁用userland代理等。 这篇文档不仅关注了Docker容器装载传播模式的正确配置，还提供了一套全面的Docker安全指南，旨在确保容器环境的安全稳定运行。