禁止访问一些文件系统的操作，比如创建新的设备、修改文件属性等； 禁止模块加载。 这样，就算攻击者在容器中取得了 root 权限，也不能获得本地主机的较高权限，能进行的破坏也有限。 默认情况下，Docker采用 白名单 机制，禁用 必需功能 之外的其它权限。 当然，用户也可以根据自身需求 来为 Docker 容器启用额外的权限。 内核能力机制 Docker —— 从入门到实践 83 内核能力机制 除了能

禁止访问一些文件系统的操作，比如创建新的设备、修改文件属性等； 禁止模块加载。 这样，就算攻击者在容器中取得了 root 权限，也不能获得本地主机的较高权限，能进行的破 坏也有限。 默认情况下，Docker采用白名单机制，禁用必需功能之外的其它权限。 当然，用户也可以根 据自身需求来为 Docker 容器启用额外的权限。 内核能力机制 217 其它安全特性 除了能力机制之外，还可以利用一些现有的安全机制来增强使用