LinuxKit所包含的工具可以允許使用者建構自定義的Linux子系統。所有的系統服務都是可以替換的容器,并且使用者可以移除所有不需要的東西。這是一款非常符合Docker設計理念的工具,所有預設的元件都可以替換成與使用者需求相比對的元件。
LinuxKit是一個開源項目,Docker稱之是以将其建構在容器中,是為了建構一個安全、精簡和可移植的作業系統。
Docker 公司稱安全性是其重要等級的目标,該目标與 NIST(美國國家标準技術研究所)在其《Application Container Security Guide》草案中的聲明是一緻的,即“使用特定的容器作業系統而不是通用的作業系統來減少攻擊平面。當使用特定的容器作業系統時,其可攻擊平面通常遠小于通用作業系統,是以攻擊和危害特定的容器作業系統的機會就更少了。
如果作業系統是圍繞着運作容器的單一用例進行設計的,那麼這種精簡就可以直接有助于系統的安全性。因為LinuxKit是原生的容器,是以它的體積非常小僅有35MB,是以使用者隻需非常短的時間就可以啟動它了。所有系統服務都是容器,這就意味着使用者可以删除或替換所有的東西。
在容器中系統服務就是一個沙盒(隻擁有它們所需的特權)。該配置是為容器用例而設計的。整個系統被建構成一個不可改變的基礎設施,是以使用者可以在CI管道中對它進行建構、測試和部署,并且在需要更新它的時候重新部署新版本。
核心是來自Docker公司與Linux核心社群和諸如核心自我保護項目(KSPP)這樣的組織共同合作來完成。有着LinuxKit的支援,隻需一個很小的更新檔就可以解決問題。核心安全程序的開發對于單個公司來說實在是太龐大了,是以需要整個行業進行合作。
此外,LinuxKit還提供了一個孵化安全性項目的空間,這些安全性項目展現出提高Linux安全性的美好前景。Docker公司稱其正在積極與 Wireguard, Landlock, Mirage, oKernel, Clear Containers等外部開源項目合作,并提供了一個測試平台。接下來其工作重點将會是容器空間的創新以及生産環境上。
LinuxKit是可移植的,因為它是為Docker目前所運作的多平台而建構的,并且它還将支援更多的平台。作為容器,它可以運作在任何地方,無論是在大型或是小型機器、裸機或是虛拟機、大型主機或是其他使用物聯網場景的裝置上。
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)