Engine を安全に¶
このセクションは Docker Engine のセキュリティ機能や、インストール時の設定について扱います。
- トラステッド・イメージ(trusted image)を送受信できる機能を設定することで、Docker の信頼性を高めます。設定の詳細は トラステッド・イメージを使う をご覧ください。
- Docker デーモン・ソケットを守り、確かなものとするには信頼された Docker クライアント接続を使います。詳細は Docker デーモンのソケットを守る をご覧ください。
- 証明書をベースとするクライアント・サーバ認証を使えます。これは Docker デーモンがレジストリ上のイメージに対する適切なアクセス権があるかどうかを確認します。詳細は 証明書をリポジトリのクライアント認証に使用 をご覧ください。
- セキュア・コンピューティング・モード(Seccomp)ポリシーを設定することで、コンテナ内のシステムコールを安全にします。詳細な情報は Docker 用の seccomp セキュリティ・プロフィール をご覧ください。
- 公式の .deb パッケージは、Docker 用の AppArmor プロファイルがインストールされます。プロファイルや更新方法は Docker 用の apparmor セキュリティ・プロフィール をご覧ください。
- ルート・ユーザ(root user)をコンテナ内の非ルート・ユーザ(non-root user)にマップできます。 ユーザ名前空間でコンテナを分離 をご覧ください。
- Docker デーモンを非ルート・ユーザとして実行できます。 Docker デーモンをルート以外のユーザで実行(Rootless モード) をご覧ください。
参考
- Secure Engine
- https://docs.docker.com/engine/security/