docker安全加固(lxcfs增强docker容器的隔离性、设置特权级运行的容器、设置容器白名单、安全加固思路 )

1.通过lxcfs增强docker容器的隔离性和资源可见性

docker run -it --name vm1 -m 256M ubuntu 创建一个容器并指定可用内存为256M

root@e53bceea7a86:/# free -m  ##发现看到的并不是256M

---

yum install -y lxcfs-2.0.5-3.el7.centos.x86_64.rpm 安装lxcfs
lxcfs /var/lib/lxcfs &运行，/var/lib/lxcfs是lxcfs默认数据目录
cd /var/lib/lxcfs
lscgroup是资源限制，proc是系统信息
cd proc
ls

docker run -it --name vm2 -m 256M \ ##创建容器，把相应的内容挂载到容器内
 >-v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo \ 
 >-v /var/lib/lxcfs/proc/diskstats:/proc/diskstats \ 
 >-v /var/lib/lxcfs/proc/meminfo:/proc/meminfo \ 
 >-v /var/lib/lxcfs/proc/stat:/proc/stat \ 
 >-v /var/lib/lxcfs/proc/swaps:/proc/swaps \ 
 >-v /var/lib/lxcfs/proc/uptime:/proc/uptime \
 >ubuntu