在CentOS中保障Docker安全可从以下方面入手：

1. 最小化容器权限
   • 禁用--privileged模式，避免容器获取宿主机级权限。
   • 按需分配Capabilities，如--cap-drop ALL --cap-add NET_BIND_SERVICE。
   • 使用--security-opt="no-new-privileges"防止容器提权。
2. 隔离敏感目录
   • 避免挂载宿主机敏感目录（如/proc、/sys），使用--read-only设置容器文件系统为只读。
3. 启用安全模块
   • 使用AppArmor或seccomp限制容器系统调用，如--security-opt apparmor=docker-default。
4. 镜像安全
   • 从可信源拉取镜像，使用非latest标签，定期用Trivy等工具扫描漏洞。
   • 在Dockerfile中创建非root用户运行进程，避免以root身份运行。
5. 资源限制与隔离
   • 通过--cpus、--memory限制容器资源，使用Cgroups隔离CPU、内存等资源。
   • 采用网络隔离策略，如自定义Docker网络、限制容器间通信。
6. 访问控制与日志监控
   • 启用TLS加密Docker API通信，限制API访问IP。
   • 使用Falco等工具监控容器异常行为，定期审计日志。
7. 系统级安全配置
   • 启用SELinux（非生产环境谨慎禁用），配置严格的访问控制策略。
   • 定期更新Docker及内核，修复已知漏洞。

参考来源：