Принципы безопасности Docker | Docker Security Principles
В этом видео разберём базовые практики безопасности Docker и встроенные механизмы защиты контейнеров. Вы узнаете: — как работают namespaces (изоляция процессов, сетей, точек монтирования) и cgroups (ограничение ресурсов CPU/RAM) — зачем нужны AppArmor, SELinux и seccomp для усиления безопасности — почему демон Docker требует root-привилегий и чем это опасно — лучшие практики: запуск контейнеров от непривилегированного пользователя (пример создания пользователя в Dockerfile через RUN useradd) — как использовать read-only файловую систему (--read-only) и монтировать отдельные тома (-v) для записи (на примере MySQL) — почему опасно запускать процессы от root внутри контейнера и как это исправить — как отключить опасные capabilities (--cap-drop) – в частности setuid / setgid — создание приватного Docker Registry и Docker Content Trust (упоминание в начале) — принцип минимальных привилегий: одно приложение на контейнер, не использовать переменные окружения для секретов --- ⚠️ Важная информация о переводе Этот перевод на русский язык — мой личный любительский некоммерческий проект. Я перевёл данный курс по собственной инициативе с помощью локального ИИ (перевод + озвучка с клонированием моего голоса), чтобы сделать этот полезный материал доступным для русскоязычного сообщества. Все права на оригинальный контент принадлежат авторам курса. Если вы являетесь правообладателем и хотите связаться со мной — напишите в комментариях. https://t.me/abdey228
В этом видео разберём базовые практики безопасности Docker и встроенные механизмы защиты контейнеров. Вы узнаете: — как работают namespaces (изоляция процессов, сетей, точек монтирования) и cgroups (ограничение ресурсов CPU/RAM) — зачем нужны AppArmor, SELinux и seccomp для усиления безопасности — почему демон Docker требует root-привилегий и чем это опасно — лучшие практики: запуск контейнеров от непривилегированного пользователя (пример создания пользователя в Dockerfile через RUN useradd) — как использовать read-only файловую систему (--read-only) и монтировать отдельные тома (-v) для записи (на примере MySQL) — почему опасно запускать процессы от root внутри контейнера и как это исправить — как отключить опасные capabilities (--cap-drop) – в частности setuid / setgid — создание приватного Docker Registry и Docker Content Trust (упоминание в начале) — принцип минимальных привилегий: одно приложение на контейнер, не использовать переменные окружения для секретов --- ⚠️ Важная информация о переводе Этот перевод на русский язык — мой личный любительский некоммерческий проект. Я перевёл данный курс по собственной инициативе с помощью локального ИИ (перевод + озвучка с клонированием моего голоса), чтобы сделать этот полезный материал доступным для русскоязычного сообщества. Все права на оригинальный контент принадлежат авторам курса. Если вы являетесь правообладателем и хотите связаться со мной — напишите в комментариях. https://t.me/abdey228