docker run --privileged参数(容器权限全开,不利于宿主机安全,宿主机容易重启)(与/usr/sbin/init共用)

已于 2022-07-06 09:29:51 修改
阅读量1.2w 收藏 6
点赞数 2
文章标签: docker 安全 容器
于 2022-06-17 11:00:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dontla/article/details/125329548
版权

我在搞docker自动部署的时候,加了个--privileged参数,结果容器一创建,宿主机就重启了

docker run \ 
-itd \
--name ${container_name} \
--privileged=true \
--net mynet \
--ip ${IP} \
--restart=always \
-v /ky_volume:/ky_workspace \
${image_name}:${image_tag} \
/usr/sbin/init

参考网友们对–privileged参数的理解:

--privileged,权限全开,不利于宿主机安全
参考文章:docker容器权限设置–cap-add | --cap-drop | privileged

1.对外开放无认证的Docker API是非常危险的行为,生产环境应当禁止对外开放
2.--privileged能不用尽量不要用
参考文章:骚操作:在Docker容器内重启宿主机

20220706 --privileged/usr/sbin/init共用

原先vsftpd服务没法启动,这两个共用后,能启动了,但创建完容器,系统会自动重启一下,,,
参考文章:怎么以特权模式运行容器

Dontla
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Docker容器访问宿主网络的方法
09-30
主要介绍了Docker容器访问宿主网络的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
[docker]privileged参数
热门推荐
追寻神迹
02-04 10万+
privileged参数 $ docker help run ... --privileged=false Give extended privileges to this container ... 大约在0.6版,privileged被引入docker。使用该参数,container内的root拥有真正的root权限。否则,container内的root只是外部的一个普通用户
docker run--privileged=true选项解析(特权模式:赋予容器几乎与主相同的权限
Dontla的博客
09-18 1万+
在默认情况下,Docker容器权限进行了严格的限制,只提供了有限的capabilities。因此,我们需要谨慎地使用这个选项,只在必要的情况下才用它,并尽量使用其他更细粒度的权限控制手段。选项为容器提供了强大的功能,但它也带来了一些严安全隐患。由于privileged容器具有几乎与主相同的权限,所以如果容器被恶意代码控制,那么攻击者就可以轻易地突破容器的边界,对主进行任意操作。Docker默认情况下会赋予容器一些必要的capabilities,但不包括全部的能力,从而降低了被攻击的风险。
docker privileged用法
完颜振江
02-06 1219
标志来运行容器时,容器内的进程将具有对主系统的完全访问权限,包括访问设备、挂载文件系统等。这在一些特定的使用情况下可能是必要的,但同时也带来了一些安全风险。标志在某些情况下很有用,但也存在潜在的安全风险。因为容器内的进程可以直接影响到主系统,如果恶意进程获得了容器的控制权,可能会对主系统造成严的损害。标志,并且在可能的情况下采取其他更安全的替代方案。是Docker容器的一个选项,用于授予容器内的进程对主系统的更高权限。标志来授予容器对这些设备的访问权限,而不必使用。因此,建议仅在确实需要时使用。
docker run 中的privileged参数
海鸥
03-22 2354
大约在0.6版,privileged被引入docker。使用该参数,container内的root拥有真正的root权限。 否则,container内的root只是外部的一个普通用户权限。 privileged动的容器,可以看到很多host上的设备,并且可以执行mount。 甚至允许你在docker容器docker容器。 privileged参数 $ docker help run ... --privileged=false Give extended privileges
liu1084#pages_on_everyday#2019-11-20-Docker容器 - 容器时间跟宿主时间同步1
07-25
dockerfile文件里添加下面内容:设置时区保存后,利用docker build命令生成镜像使用即可,使用dockerfile创建的镜像的容器改变了容器
docker--privileged
zhou920786312的博客
08-15 1万+
一、 privileged=true|false 介绍 true container内的root拥有真正的root权限。 false container内的root只是外部的一个普通用户权限。 默认false privileged动的容器 可以看到很多host上的设备 可以执行mount。 可以在docker容器docker容器。 二、测试验证 2.1、未设置privileged动的容器 docker run -it centos:7.7.1908 bash 不可以执行
docker 学习3
yulang1992514的博客
03-02 4401
1.docker镜像 镜像 是一种轻量级、可执行的独立软件包,它包含运行某个软件所需的所有内容,我们把应用程序和配置依赖打包好形成一个可交付的运行环境(包括代码、运行时需要的库、环境变量和配置文件等),这个打包好的运行环境就是image镜像文件。 只有通过这个镜像文件才能生成Docker容器实例(类似Java中new出来一个对象)。 在下载的过程中我们可以看到docker的镜像好像是在一层一层的在下载,docker的镜像实际上由一层一层的文件系统组成,这种层级的文件系统UnionFS。 ..
docker run 命令30个常用参数详解
日拱一卒无有尽,功不唐捐终入海
08-18 1万+
Docker run 命令是在 Docker 中创建和运行容器的主要命令之一。它允许根据需要配置容器的各种属性。下面是docker run命令的一些常见用法和示例,我们共同学习。
基于Docker宿主容器Spark/Hadoop部署+源代码+文档说明
最新发布
03-25
- 不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! <项目介绍> 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
详解如何解决docker容器无法通过IP访问宿主问题
09-30
主要介绍了详解如何解决docker容器无法通过IP访问宿主问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
软件测试|深入解析Docker Run命令:创建和容器的完全指南
Tester_muller的博客
07-10 3794
Docker是一种流行的容器化平台,用于构建、分发和运行应用程序。其中一个最基本且要的Docker命令是docker run,用于创建和容器。本文将详细解析docker run命令的用途、参数和示例,帮助您全面掌握创建和容器的过程。docker run命令是Docker中最基本且要的命令之一,用于创建和容器。通过了解和灵活使用不同的选项和参数,可以定制容器的名称、端口映射、数据持久化、环境变量等设置。
docker常用命令
qq_35745341的博客
12-29 1397
docker安装,可参考官网docker文档 安装最新的社区版: yum install docker-ce docker-ce-cli containerd.io 安装指定版本: yum list docker-ce --showduplicates | sort -r 版本号在第二列":“与”-"之间例如:3:18.09.9-3.el7 版本号是:18.09.9 安装docker yum install -y docker-ce-18.09.9 docker-ce-cli-18.09.9 cont
Docker常用操作命令
weixin_40568190的博客
02-03 100
##Docker常用操作命令 什么是DockerDocker 是一个开源的应用容器引擎,基于 Go 语言 并遵从Apache2.0协议开源。Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 器上,也可以实现虚拟化。容器是完全使用沙箱制,相互之间不会有任何接口(类似 iPhone 的 app),更要的是容器性能开销极低。 为什么要使用Docker? 1、无论是安装应用、搭建环境,还是部署应用,都十分的方便灵活 2、节省资源开销。 3、灵
(十二)docker --privileged
ddlcdlzn20146的博客
07-03 1140
1. privileged参数作用 --privileged Give extended privileges to this container 大约在0.6版,privileged被引入docker。 使用该参数,container内的root拥有真正的root权限。 否则,container内的root只是外部的一个普通用...
Docker run 命令的使用方法
余功鹏的专栏
08-01 1万+
编者的话】在Docker中,run应该是用户使用最多的命令了,很多读者反馈不是很明白run命令的用法,而且相关的书籍、中文资料中对run命令的描述也不是非常完整,所以DockerOne组织翻译了Docker官方的文档,以飨读者。注意,本文基于最新的Docker 1.4文档翻译。 Docker会在隔离的容器中运行进程。当运行 docker run命令时,Docker动一个进程,并为
docker run 命令详解(新手入门必备)
m0_67391121的博客
09-01 1万+
如果你的容器动会打印日志,那边加-d选项在终端就看不到了,需要用docker logs -f 容器ID查看。这种模式下容器docker宿主拥有root访问权限,允许我们以其宿主具有(几乎)所有能力来运行容器,包括一些内核特性和设备访问,端口映射,前面为宿主的端口,后面为容器服务进程端口,访问宿主的80,最终会转发给容器的80端口,实现方式为iptables。默认情况下,container拥有对设备的读,写,创建设备文件的权限。增加主的一个设备到容器,也就是让容器拥有访问这个设备的权限。...
docker执行run命令,加上--privileged和/usr/sbin/init,然后就跳出图形化界面(KDE),进不去了
06-13
加上`/usr/sbin/init`选项是为了容器中的systemd,这是一个Linux系统初始化进程。 在容器时,如果加上了这两个选项,容器动一个完整的操作系统,包括图形界面。但是,由于容器没有真正的显卡设备,所以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Dontla

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值