Настройка Devicemapper содержит все содержимое файловой системы во всех загруженных образах Docker и работающих контейнерах. Он не содержит данных в именованных томах или подключенных к каталогам хостах.
Если у вас есть возможность перейти на новую достаточно хост-операционную систему и Docker, чтобы вместо этого использовать драйвер хранилища overlay2, управлять им гораздо проще (именно потому, что у вас нет «выбрать, сколько места выделить Docker»). вопрос) Никаких особых последствий для безопасности при использовании overlay2, или устройства отображения с локальным файлом, или устройства отображения с выделенным разделом, помимо проблем безопасности, которые несет Docker, нет.
Вы, вероятно, можете догадаться, сколько места вам на самом деле нужно, основываясь на размере, указанном в docker images. Если вы используете только готовые образы в Docker Hub, они часто составляют 200 МБ или меньше, и выделение пространства по умолчанию (IIRC 20 ГБ) может быть вполне приемлемым. Если вы используете изображения, созданные локально, и особенно если вы не заботитесь об использовании пространства (вы RUN apt-get install build-essential), планируйте, чтобы каждое построенное изображение составляло 1 ГБ или более, а размер соответствовал вашим потребностям.
В /var/lib/docker ничего не видно, и детали зависят от установки. Не ходите туда-сюда.