• 在所有服务器■◆■★、业务系统中◆■■★★，审核整个环境以查找特权帐户（例如SSH账号◆★、管理后台账号、跳板机账号）★★；

　　•阻止恶意软件的传播：通过在服务器或者在应用系统上执行最小权限，恶意软件攻击（例如SQL注入攻击）将很难提权来增加访问权限并横向移动破坏其他软件、设备。

　　• Enforcement（强制模式）：在这种模式下，配置文件里列出的限制条件都会得到执行★■★◆，并且对于违反这些限制条件的程序会进行日志记录。

　　好了，关于本次就到这里了，感谢大家阅读，最后祝大家生活快乐■■★★◆，每天都过的有意义哦，我们下期见■◆■★★！

　　当今，大多数高级攻击都依赖于利用特权凭证◆★★■。通过限制超级用户和管理员权限■◆★◆★，最小权限执行有助于减少总体网络攻击面。

　　AppArmor（Application Armor）是一个 Linux 内核安全模块★★，可用于限制主机操作系统上运行的进程的功能。每个进程都可以拥有自己的安全配置文件■■★。安全配置文件用来允许或禁止特定功能◆◆◆，例如网络访问、文件读/写/执行权限等。

　　容器实际上是宿主机上运行的一个进程■■■◆，共享宿主机内核，如果所有容器都具有任何系统调用的能力，那么容器如果被入侵，就很轻松绕过容器隔离更改宿主机系统权限或者进入宿主机。这就可以使用Seccomp机制限制容器系统调用★■★■★，有效减少攻击面。

　　有些命令对应的系统调用方法和命令名同名，但有些是不同的，这些需要注意下。

　　哇哦◆■■★■，这里使用busybox镜像测试◆■■★★，就符合预期效果了，但是前面的那个nginx镜像对chmod系统调用没有效果。

　　接下来◆■◆，我们将使用Seccomp 限制容器进程系统调用，阻止chmod命令的运行。

　　•有助于简化合规性和审核★★◆■★：许多内部政策和法规要求都要求组织对特权帐户实施最小权限原则，以防止对关键业务系统的恶意破坏★★★。最小权限执行可以帮助组织证明对特权活动的完整审核跟踪的合规性。

　　至于，chmod命令nginx镜像没能实现效果，可能和镜像有关吧（或者系统调用的名称不同）◆◆★★。

　　说明禁用mkdir命令成功了，同样busybox镜像也是可以禁用成功的◆■。

　　AppArmor 目前处于测试阶段，因此在注解中指定AppArmor策略配置文件■■■■★★。

　　是宿主机的能力，宿主机对容器上的进程做访问控制◆■■★■，因为容器是宿主机上的一个进程。

　　• Complain（投诉模式）■★■■：在这种模式下■◆■，配置文件里的限制条件不会得到执行，Apparmor只是对程序的行为进行记录。一般用于调试★★◆◆。