1. 你不把host上的文件系统mount过去,不出现安全漏洞的情况下,容器里面也看不到。
2. 容器里的用户正常应该做remapping的(/etc/subuid, /etc/subgid),remapping之后容器里的root也只是host上的一个普通用户而已。
3. 没有复杂或者特殊需求用podman吧, docker的server-client模式还是有一些安全隐患的。
【 在 RaZRo 的大作中提到: 】
: 但是docker里的root可以对host的root目录读写啊。
: :
--
FROM 58.212.168.*