Docker之用户隔离

最新推荐文章于 2022-04-27 16:24:02 发布
最新推荐文章于 2022-04-27 16:24:02 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: 日常 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BrHiker/article/details/107507983
版权

Docker用户隔离

说明

Docker的使用默认需要sudo权限,或者将需要使用docker的用户拉入docker组当中。
使用Docker镜像时,一般默认以root用户进入镜像,由于Docker共享内核的特性,此时容器的root用户与主机的root用户相同,将带来主机安全问题。(如Docker 允许用户在主机和容器间共享文件夹,同时不需要限制容器的访问权限,这就容易让容器突破资源限制。例如,恶意用户启动容器的时候将主机的根目录/映射到容器的 /host 目录中,那么容器理论上就可以对主机的文件系统进行任意修改了。)
而借助Linux的User namespace可以将容器的 root 用户映射到本地主机上的非 root 用户,减轻容器和主机之间因权限提升而引起的安全问题。
此处仅记录解决该问题的方法,详细说明请见:
理解Docker容器中的uid和gid.
Linux Namespace.
隔离docker容器中的用户.

隔离方法

让 docker 创建默认的用户用于 user namespace。
创建/etc/docker/daemon.json

$ sudo touch /etc/docker/daemon.json

然后编辑其内容如下(如果该文件已经存在,仅添加下面的配置项即可),并重启 docker 服务:

{
  "userns-remap": "default"
}

$ sudo systemctl restart docker.service

可以通过id命令看到docker新建了一个名为dockremap的用户

$ id dockremap

接着尝试运行docker

$ docker run --rm ubuntu:18.04 top

显示为root用户
在这里插入图片描述

在另一终端下

ps -aux|grep top

在这里插入图片描述

可以看到运行top的已经非root而是2197152用户,隔离成功。

BrHiker
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何隔离docker容器中的用户的方法
09-30
主要介绍了如何隔离docker容器中的用户的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Docker背后的内核知识—Namespace资源隔离
01-30
Docker这么火,喜欢技术的朋友可能也会想,如果要自己实现一个资源隔离的容器,应该从哪些方面下手呢?也许你第一反应可能就是chroot命令,这条命令给用户最直观的感觉就是使用后根目录/的挂载点切换了,即文件系统...
隔离 docker 容器中的用户
weixin_33778778的博客
09-13 494
笔者在前文《理解 docker 容器中的 uid 和 gid》介绍了 docker 容器中的用户与宿主机上用户的关系,得出的结论是:docker 默认没有隔离宿主机用户和容器中的用户。如果你已经了解了 Linux 的 user namespace 技术(参考《Linux Namespace : User》),那么自然会问:docker 为什么不利用 Linux user namespace 实现用...
Docker隔离机制
sophia__yu的博客
08-27 6460
Docker隔离性主要运用Namespace 技术。传统上Linux中的PID是唯一且独立的,在正常情况下,用户不会看见重复的PID。然而在Docker采用了Namespace,从而令相同的PID可于不同的Namespace中独立存在。如,A Container 之中PID=1是A程序,而B Container之中的PID=1同样可以是A程序。虽然Docker可透过Namespace的方式分隔出...
Docker用户隔离下文件挂载权限问题
BrHiker的博客
08-05 527
Docker用户隔离下文件挂载权限问题 出于实验室服务器访问安全上的问题,对docker进行了用户隔离(详情可见https://blog.csdn.net/BrHiker/article/details/107507983) 在使用过程中发现,做过用户隔离后,由于是将docker中root用户映射到本地主机上的非 root 用户,在挂载本地文件目录时,会存在无法写入的问题。此时可以修改该主机文件的权限,将其变为其他用户也可读写执行即可(简单粗暴但好用,如果有其他方法还请告知本菜)。 chmod修改文件权限
GPU服务器使用docker进行用户隔离
qq_41011242的博客
04-27 897
研发需求 研发组内各人共用一台服务器,但是均需要root权限 下面记录一台ubuntu机器从初始化到最终提供上述服务的关键步骤 挂载硬盘 参考: https://www.cnblogs.com/mumuzifeng/p/13963043.html 安装docker 参考: https://www.runoob.com/docker/ubuntu-docker-install.html 安装nvidia docker 参考: https://zhuanlan.zhihu.com/p/88351963
docker安装skywalking+mysql
01-02
Docker是一个流行的容器化平台,它允许我们在隔离的环境中轻松部署和管理应用程序及其依赖项。以下是对标题和描述中涉及步骤的详细解释。 首先,我们需要安装Docker。确保你的CentOS系统的内核版本高于3.10,可以...
docker入门ppt学习
02-22
Docker 容器可以理解为一种轻量级的沙盒,每一个沙盒内运行着自己独有操作系统或者应用程序,相互隔离,容器之间可以通过网络互相通信。Docker 容器的特点:轻量、简单、易于管理、易于迁移。 Docker 历史 --------...
Docker之一文理解核心概念
01-20
Docker容器类似于一个轻量级的沙箱,Docker利用容器来运行和隔离应用。所有容器是彼此相互隔离、互不可见,但可以通过特定的IP和端口进行通信连接。我们直到进程是一个程序运行的一次过程,那么容器可以简单理解为...
docker安装包+依赖包
08-11
8. **安全考虑**:在生产环境中,考虑使用 `sudo usermod -aG docker $USER` 将当前用户添加到 Docker 组,以便无须 sudo 权限就能运行 Docker 命令,但这也可能带来安全隐患,因此需要谨慎操作。 9. **更新与维护*...
arm64 docker安装包
10-30
Docker使得应用程序可以被封装在轻量级的容器中,实现可移植性和隔离性,而Docker Compose则允许用户通过YAML配置文件来定义和运行多个容器化的服务,简化了多容器应用的管理。以下将详细介绍这两个工具以及如何在...
解锁Docker之门:破解容器连接守护进程的迷雾
07-01
Docker 是一个开源的容器化平台,它允许开发者将应用及其依赖打包到一个轻量级、可移植的容器中,然后可以在任何支持Docker的机器...7. **安全性**:Docker 提供了多种安全特性,包括容器的隔离、内容信任和安全扫描。
Docker 安装及配置
05-14
Docker 的发展历史可以追溯到 Linux Container 的出现,Linux Container 是一种内核虚拟化技术,可以提供轻量级的虚拟化,以便隔离进程和资源。Docker 是 PAAS 提供商 dotcloud 开源的一个基于 LXC 的高级容器引擎,...
安装包 安装docker 安装docker
11-13
Docker容器就像轻量级的虚拟机,它们利用宿主机的操作系统,但提供了隔离的环境。每个容器都包含应用及其所有依赖,确保在任何支持Docker的环境中都能一致地运行。 **一、在线安装Docker** 对于大多数用户,最简便...
docker配置.docx
最新发布
07-16
镜像:Docker镜像是一个只读的模板,包含完整的操作系统环境或用户指定的应用程序。镜像可以用来创建多个容器实例。 容器:容器是从镜像创建的运行实例,可以启动、停止、删除。每个容器都是相互隔离的,保证应用的...
01-docker原理-02-隔离机制
运维玄德公
09-14 1201
1. 容器底层实现 1.1 虚拟机隔离的方法 1.2 docker隔离方法: 1.2.1 使用Namespaces实现了系统环境的隔离 1.2.2 使用CGroups限制这个环境的资源使用情况 2. docker存在的问题 2.1 存在的问题 2.2 示例
Docker 创建docker用户组,应用用户加入docker
热门推荐
point0mine的博客
03-05 9万+
1. 创建docker用户组 sudo groupadd docker 2. 应用用户加入docker用户组 sudo usermod -aG docker ${USER} 3. 重启docker服务 sudo systemctl restart docker 4. 切换或者退出当前账户再从新登入 su root 切换到root用户 su ${U...
linux用户隔离,隔离 Docker 容器中的用户
weixin_39641386的博客
04-28 664
笔者在前文《理解 docker 容器中的 uid 和 gid》介绍了 docker 容器中的用户与宿主机上用户的关系,得出的结论是:docker 默认没有隔离宿主机用户和容器中的用户。如果你已经了解了 Linux 的 user namespace 技术(参考《Linux Namespace : User》),那么自然会问:docker 为什么不利用 Linux user namespace 实现用...
docker隔离原理
07-27
Docker 是一种容器化技术,它通过使用操作系统级虚拟化来实现应用程序的隔离Docker 隔离原理主要依赖于以下几个关键技术: 1. Linux 命名空间(Namespaces):Docker 使用多种 Linux 命名空间来隔离不同的系统资源,如进程、网络、文件系统、用户等。每个容器都有自己独立的命名空间,使得容器中运行的进程只能看到自己所在的命名空间中的资源,从而实现了进程级别的隔离。 2. 控制组(Control Groups):Docker 使用控制组来限制和隔离容器对系统资源的使用,如 CPU、内存、磁盘、网络带宽等。通过控制组,可以为每个容器分配一定的资源配额,并且防止容器占用过多的资源影响其他容器或宿主机。 3. 文件系统隔离Docker 使用联合文件系统(UnionFS)来实现容器的文件系统隔离。每个容器都有自己的根文件系统,可以在其中安装和运行应用程序,而不会影响其他容器或宿主机的文件系统。 4. 容器间通信:Docker 提供了网络隔离功能,使得容器可以在自己的网络命名空间中运行,并且可以通过网络与其他容器或宿主机进行通信。每个容器都有自己的网络栈,独立于其他容器和宿主机,从而实现了网络级别的隔离。 综上所述,Docker 利用 Linux 命名空间、控制组、文件系统隔离和网络隔离等技术,实现了容器级别的隔离,使得不同的容器可以在同一台宿主机上独立运行,互相不受影响。这种隔离机制使得 Docker 在应用部署、开发测试和环境一致性等方面具有很大的优势。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值