Я новичок в Docker, поэтому имейте в виду.
По старому:
Докерский способ:
Могу ли я сначала укрепить Linux, а затем сохранить его в образе Docker? Или мне создать контейнер Docker, а затем укрепить его?
Я бы сказал, что оба применимы. Разделите процесс закалки на два этапа:
Базовое общее усиление защиты, которое должны обеспечивать все изображения независимо от их конечного использования.
Конкретная конфигурация, нацеленная на приложение (база данных, веб-сервер, ...)
Создайте защищенный образ из выбранной вами ОС и используйте для его хранения локальный реестр.
Вы можете иметь dockerfiles нацеленные на конкретные приложения, которые создают FROM закаленное изображение и при необходимости примените дополнительные ограничения.