docker 可以防黑客吗？

没有绝对安全的软件。
就不说 Docker 了，就那么多虚拟机还会发生逃逸呢。
Linux 下也还有漏洞能让普通用户提权到 root 呢。

楼主觉得 Docker 能做得比 Linux 还安全嘛？

privileged 使用该参数，container 内的 root 拥有真正的 root 权限。
否则，container 内的 root 只是外部的一个普通用户权限。
privileged 启动的容器，可以看到很多 host 上的设备，并且可以执行 mount。
甚至允许你在 docker 容器中启动 docker 容器。

所以如果没有使用 privileged 参数，应该是安全的沙盒模式。

> 能进到宿主环境吗
进到这个词太抽象了，是指的隔离性吗？
docker 的隔离性一般情况是足够的，但还是有办法读取到宿主环境的一些信息。(不管你开不开 privileged)
最常见的场景 cgroup 隔离性不足
就是 cgroup namespace 的支持需要打内核补丁，所以你在 docker 环境里可以读取宿主机上的进程信息。
所以对此有了很多解决方案。阿里推的 https://github.com/alibaba/pouch 主打特性就是 Strong isolation, 对比 docker 就是隔离性较弱了。

如果是黑客，一般到机器上扔个 fork 炸弹，弱一点的平台就挂了=。= 一试一个准