## 其他Linux内核安全功能 现代的Linux内核除了之前提到的capability、命名空间和cgroups等概念外，还有很多其他安全构件。Docker能够利用诸如TOMOYO、AppArmor、SELinux和GRSEC等的现有系统，其中有些为Docker容器提供了安全模型模板。你可以使用这些访问控制机制的任何一种来进一步定义定制化的策略。 Linux主机可以用很多其他方式进行加固而且部署Docker在增强了主机安全的同时却不会影响其他安全工具的使用。我们建议你在运行的Linux内核中使用GRSEC和PAX。这些补丁集加入了很多内核级安全检查，使得在编译和运行环境中尝试破坏或者一些常见披露技术变得更加困难。这并不是Docker专有的配置，但是可以在系统范围内应用并从中获益。