Linux 安全：如何使用 --read-only 启动 Docker 容器

启用 --read-only 模式可将容器根文件系统设为只读，防止运行时写入，提升安全性；需配合 --tmpfs 或 -v 挂载临时或持久化存储以支持必要写操作。

在运行 Docker 容器时，使用 --read-only 选项是一种简单而有效的安全加固手段。它能防止容器在运行过程中对文件系统进行写入操作，从而降低因应用漏洞或恶意行为导致的数据篡改或持久化攻击风险。

什么是 --read-only 模式？

启用 --read-only 后，Docker 会将容器的根文件系统挂载为只读。这意味着容器内的进程无法修改已有的文件、创建新文件或删除内容（除非显式挂载了可写目录）。

这个机制特别适合那些不需要持久写入本地磁盘的应用，比如静态 Web 服务、API 前端或数据处理工具。

如何启用 --read-only 模式

启动容器时，只需添加 --read-only 参数即可：

这样启动的 Nginx 容器，其整个根目录（如 /usr、/bin、/etc 等）都不可写。

但要注意：很多应用需要写临时数据，例如日志、缓存或会话文件。因此通常还需配合可写挂载点使用。

允许必要的写入操作：使用临时文件系统

为了在只读容器中支持必要写入，可以通过 --tmpfs 或 -v 挂载方式提供可写层：

Vinteo AI

利用人工智能在逼真的室内环境中创建产品可视化。无需设计师和产品照片拍摄

62

查看详情

• --tmpfs /tmp：将内存中的 tmpfs 挂载到 /tmp，用于临时文件
• --tmpfs /var/log：允许应用写日志
• --tmpfs /var/run：常用于守护进程的运行时状态文件

完整示例：

这种方式既保证了系统文件不被篡改，又满足了运行时需求。

结合 volume 实现持久化写入（按需）

如果需要持久化存储（如上传文件、数据库等），应通过 -v 显式挂载宿主机目录或命名卷：

只有 /app/uploads 可写，其余路径仍受保护。

这种最小权限原则能有效限制潜在攻击面。

基本上就这些。使用 --read-only 是提升容器安全性的低成本高收益实践，配合 tmpfs 和 volume 控制写入位置，既能保障安全性，又不影响功能。

以上就是Linux 安全：如何使用 --read-only 启动 Docker 容器的详细内容，更多请关注php中文网其它相关文章！