nginx в docker торчащий в web

удаленный эксплоит в nginx
Ну просто возможно он будет проксировать в сомнительно защищенные самописные велосипеды.

Тогда уж эксплоитов к велосипедам (веб приложения?) надо бояться. А как защищать - зависит от языка, на котором эти приложения написаны и на чем крутятся.

Во я бы предпочел считать из заведомо ненадежными. Как огородить Docker? Если его достаточно огородить, поставить квоту на диск, сеть, память, процессор, количество процессов, то пусть там хоть fork bomb запускают.

Во я бы предпочел считать из заведомо ненадежными.

nginx и каждое проксируемое им приложение в отдельных контейнерах?

Ну допустим да, или даже для простоты, они все в одном, но защищать от друг друга не нужно, нужно чтобы не вылезли в хост и сеть хоста

защищать от друг друга не нужно

В чем тогда вопрос, какие сложности возникли?

Ну пока не возникли, я ничего еще не настроил. Просто хочу совета по поводу что и как резать и всякие pitfalls в виде дебильных дефолтных настроек Docker.

Я просто хочу гонять тестовые сервера у себя на десктопе (не на виртуалке в облаке), но при этом раздавать ссылку направо и налево. Не хочу чтобы яумамыхакир потер мне фотки с котиками в хомяке

Почему не в виртуалке - я уже тему заводил на ЛОРе. Причины от учебных, до «ближе к сердцу» и желания пользоваться всякими мультикастами если захочу вдруг

Ну это понятно, что контейнеры тут удобнее использовать.

Я имел ввиду не cgroups контейнер vs VirtualBox, а мой любимый десктоп vs Amazon AWS

не смог вылезти из контейнера

Речь о 'побеге' из него или вообще о доступе к сервисам/сети хоста?