docker命令收集

标签：依赖   win   虚拟化   blog   使用   sgid   cap   导致   缓冲   

什么是docker?

        Docker 是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化。容器是完全使用沙箱机制，相互之间不会有任何接口 

docker使用场景

• web应用的自动化打包和发布
• 自动化测试和持续集成、发布
• 在服务型环境中部署和调整数据库或其他的后台应用
• 从头编译或者扩展现有的OpenShift或Cloud Foundry平台来搭建自己的PaaS环境

局限

1. Docker是基于Linux 64bit的，无法在32bit的linux/Windows/unix环境下使用
2. LXC是基于cgroup等linux kernel功能的，因此container的guest系统只能是linux base的
3. 隔离性相比KVM之类的虚拟化方案还是有些欠缺，所有container公用一部分的运行库
4. 网络管理相对简单，主要是基于namespace隔离
5. cgroup的cpu和cpuset提供的cpu功能相比KVM的等虚拟化方案相比难以度量(所以dotcloud主要是按内存收费)
6. docker对disk的管理比较有限
7. container随着用户进程的停止而销毁，container中的log等用户数据不便收集

命令：禁止二进制SUID/GUID

      SUID和GUID二进制文件不稳定的时候容易受到攻击，而这个时候是很危险的，，导致任意代码执行（如缓冲区溢出），因为它们会进程的文件所有者或组的上下文中运行。如果可能的话，禁止SUID和SGID使用特定的命令行参数来降低容器的功能。

docker run -it --rm --cap-drop SETUID --cap-drop SETGID ... 

docker命令收集

标签：依赖   win   虚拟化   blog   使用   sgid   cap   导致   缓冲   

原文地址：http://www.cnblogs.com/kuailingmin/p/6801109.html