安全加固
----------------------------------------
- 最小安装
    - 删除所有开发工具（编译器等）
- 更新系统源
- 启用 AppArmor
- 启用 SELinux
- 限制运行容器的内核功能
- 移除依赖构建
- 配置严格的网络访问控制策略
- 不使用root用户启动docker
- 不以privileged特权模式运行容器
- 控制资源
    - CPU Share
    - CPU 核数
    - 内存资源
    - IO 资源
    - 磁盘资源
    - 硬件资源
    - 单位时间内进程数量上限
- 使用安全的基础镜像
- 定期安全扫描和更新补丁
- 删除镜像中的 setuid 和 setgid 权限
    - ``RUN find / -perm +6000-type f-exec chmod a-s {} \;|| true``
- 配置Docker守护程序的TLS身份验证
- 如非必要 禁止容器间通信
- rootless Docker
    - https://get.docker.com/rootless
- 使用 Seccomp 限制 syscall
- 构建环境和在线环境分开
- 证书校验