dotCloud 公司创始人 Solomon Hykes 在法国期间发起的一个公司内部项目， 它是基于 dotCloud 公司多年云服务技术的一次革新，并于 2013 年 3 月以 Apache 2.0 授权 协议开源，主要项目代码在 GitHub 上进行维护。Docker 项目后来还加入了 Linux 基金会， 并成立推动 开放容器联盟（OCI）。 Docker 自开源后受到广泛的关注和讨论，至今其 版本起就支持能力机制，它将权限划分为更加细粒度的操作能力，既可以作 用在进程上，也可以作用在文件上。 例如，一个 Web 服务进程只需要绑定一个低于 1024 的端口的权限，并不需要 root 权限。那 么它只需要被授权 net_bind_service 能力即可。此外，还有很多其他的类似能力来避免进程 获取 root 权限。 默认情况下，Docker 启动的容器被严格限制只允许使用内核的一部分能力。 使用能力机制对加强 Hub 上提供了官方镜像，国内各大容器云服务也基本都提供了相应的支持。 Debian 系统简介 图 1.24.3.1 - Debian 操作系统 Debian 是由 GPL 和其他自由软件许可协议授权的自由软件组成的操作系统，由Debian 计划 （Debian Project）组织维护。Debian 计划是一个独立的、分散的组织，由 3000 人志愿者组 成，接受世界多个非盈利组织的资金支持，Software

版本起就支持能力机制，它将权限划分为更加细粒度的操作能力，既可以作用在进程上，也可以作用在 文件上。 例如，一个 Web 服务进程只需要绑定一个低于 1024 的端口的权限，并不需要 root 权限。那么它只需要被 授权 net_bind_service 能力即可。此外，还有很多其他的类似能力来避免进程获取 root 权限。 默认情况下，Docker 启动的容器被严格限制只允许使用内核的一部分能力。 使用能力机制对加强