## 缺省之外:Docker增强的控制
Docker用户可以在缺省配置的基础进行扩展,进一步严格地对应用程序使用Linux能力或修改文件等访问进行限制。操作人员可以使用只读文件系统来部署容器,从而显著地限制在容器生成过程中通过隐性设备访问来欺诈系统的潜在风险。
通过“cap_drop”功能,也可以超越缺省值来限制Docker容器的capabilities。Docker也兼容于seccomp(安全计算模式- Secure computing mode),Docker Engine源代码树的‘contrib“目录中的一个例子就展示了这种集成性。使用seccomp,甚至可以使得所选择的系统调用(syscalls)对于容器进程完全禁用。
以上描述的配置控制是作为运行环境功能提供的,它专注于隔离、构建、调度和应用程序管理机制。这允许用户根据使用者的操作和组织需求为他们的容器调整和配置策略。