DockerとLXCによって提案されたコンセプトは、セキュリティの観点からは正しい方向に向かっているようです。 MySQLゼロデイを恐れていますか? Dockerコンテナで実行すると、ホストオペレーティングシステムに損傷を与えることはありません。
しかし、それは間違いなく特効薬ではありません。 DockerおよびLXCコンテナーを保護するために何をする必要がありますか?攻撃モデルとは何ですか?また、それらをどのように保護および軽減できますか?
DockerとLXCは素晴らしいコンセプトです。潜在的に脆弱なアプリケーションをシステムの残りの部分から分離して、何かがうまくいかなかった場合に受ける可能性のある損害を制限します。
それらは特効薬ではありません。主にLinux自体の設計の制限によるものです。つまり、chrootの内部であっても、rootはrootです。 http://www.bpfh.net/simes/computing/chroot-break.html
LXCとDockerがまだカバーしていない穴を塞ぐ方法があります。最も一般的な方法は、selinuxなどの必須アクセス制御と組み合わせて使用することです。 http://mattoncloud.org/2012/07/16/are-lxc-containers-enough/
あなたが他のものを確保するのと本当に同じ方法。 LXCは方程式に新しいものを追加しません。タスク間の分離を追加するためにcgroupを使用しているだけです。そして、DockerはLXC自動化だけです。
サーバーを保護するalwaysサーバーを保護します。プロセスの分離、必要な場合のみの特権、ソフトウェアの最新状態の維持、ログ管理、監視...すでに聞いたすべてのこと。