pod 禁止执行的 dmesg

于 2024-04-27 16:29:57 发布
阅读量216 收藏 2
点赞数 7
分类专栏: kubernetes 文章标签: 容器 云原生 运维 kubernetes linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenhongloves/article/details/138252365
版权

文章目录

为什么 pod 里面执行的 dmesg 命令和系统里面的一样,不是应该环境分离吗?

在 Kubernetes 环境中,尽管 Pod 提供了与主机系统隔离的运行环境,但它们仍然与宿主机共享某些底层资源和环境,如内核。这种设计使得在任何 Pod 内部执行的 dmesg 命令显示的是宿主机的内核日志,而不是特定于 Pod 的日志。

原因解释

内核共享:所有在同一宿主机上的容器(包括 Pod 内的容器)都运行在同一个操作系统内核之上。dmesg 命令显示的是内核的环环缓冲区消息,这些消息是系统级别的,不是隔离在单独的容器或 Pod 中的。

安全和隔离的考虑

修改内核参数

在宿主机上,可以修改 kernel.dmesg_restrict 内核参数。当设置为 1 时,限制非特权用户禁止访问 dmesg,这样设置后,只有具有 CAP_SYS_ADMIN 能力的用户才能访问 dmesg

  • kernel.dmesg_restrict 为 0
    pod 拥有执行 dmesg 权限
# kubectl apply -f - <<EOF
apiVersion: v1
kind: Pod
metadata:
  name: ubuntu-dmesg
spec:
  nodeSelector:
    kubernetes.io/hostname: "172.31.1.127"
  containers:
    - name: ubuntu
      image: ubuntu:20.04
      command: ["sh", "-c", "sleep infinity"] # 持续运行容器
EOF
pod/ubuntu-dmesg created

# kubectl exec -it ubuntu-dmesg -- dmesg | head -n 2
Defaulted container "ubuntu" out of: ubuntu, k8tz (init)
[    0.000000] Linux version 5.4.0-147-generic (buildd@lcy02-amd64-067) (gcc version 9.4.0 (Ubuntu 9.4.0-1ubuntu1~20.04.1)) #164-Ubuntu SMP Tue Mar 21 14:23:17 UTC 2023 (Ubuntu 5.4.0-147.164-generic 5.4.231)
[    0.000000] Command line: BOOT_IMAGE=/boot/vmlinuz-5.4.0-147-generic root=/dev/vda1 ro true intel_idle.max_cstate=0 console=ttyS0 console=tty0 net.ifnames=0 biosdevname=0 mitigations=off

# kubectl exec -it ubuntu-dmesg -- sysctl kernel.dmesg_restrict
kernel.dmesg_restrict = 0
  • kernel.dmesg_restrict 为 1
    pod 默认没有执行 dmesg 权限,需要赋权
# kubectl apply -f - <<EOF
apiVersion: v1
kind: Pod
metadata:
  name: ubuntu-dmesg-1
spec:
  nodeSelector:
    kubernetes.io/hostname: "172.31.1.127"
  containers:
    - name: ubuntu
      image: ubuntu:20.04
      command: ["sh", "-c", "sleep infinity"] # 持续运行容器

EOF
pod/ubuntu-dmesg-1 created
# kubectl exec -it ubuntu-dmesg-1 -- dmesg | head -n 2
dmesg: read kernel buffer failed: Operation not permitted
command terminated with exit code 1
# kubectl exec -it ubuntu-dmesg-1 -- sysctl kernel.dmesg_restrict
kernel.dmesg_restrict = 1

### 赋予权限
# kubectl apply -f - <<EOF
apiVersion: v1
kind: Pod
metadata:
  name: ubuntu-dmesg-2
spec:
  nodeSelector:
    kubernetes.io/hostname: "172.31.1.127"
  containers:
    - name: ubuntu
      image: ubuntu:20.04
      command: ["sh", "-c", "sleep infinity"] # 持续运行容器
      securityContext:
        capabilities:
          add:
          - SYS_ADMIN # 添加 CAP_SYS_ADMIN 权限
EOF
pod/ubuntu-dmesg-2 created
# kubectl exec -it ubuntu-dmesg-2 -- dmesg | head -n 2
[    0.000000] Linux version 5.4.0-147-generic (buildd@lcy02-amd64-067) (gcc version 9.4.0 (Ubuntu 9.4.0-1ubuntu1~20.04.1)) #164-Ubuntu SMP Tue Mar 21 14:23:17 UTC 2023 (Ubuntu 5.4.0-147.164-generic 5.4.231)
[    0.000000] Command line: BOOT_IMAGE=/boot/vmlinuz-5.4.0-147-generic root=/dev/vda1 ro true intel_idle.max_cstate=0 console=ttyS0 console=tty0 net.ifnames=0 biosdevname=0 mitigations=off
# kubectl exec -it ubuntu-dmesg-2 -- sysctl kernel.dmesg_restrict
kernel.dmesg_restrict = 1
hchen-gogogo
关注
  • 7
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dmesg中打印_在Linux中,dmesg命令
weixin_32429413的博客
01-30 1141
Linux内核是操作系统的核心,它控制对系统资源(例如CPU,I/O设备,物理内存和文件系统)的访问,内核在引导进程和系统运行时将各种消息写入内核环缓冲区,这些消息包括有关系统操作的各种信息。内核环缓冲区是保存内核消息日志的物理内存的一部分,它有一个固定的大小,这意味着一旦缓冲区已满,旧的日志记录会被覆盖。dmesg命令行程序用于在Linux和其他类unix操作系统中打印和控制内核环缓冲区,这对于...
你真的会调试Linux内核故障码?看完这一篇茅塞顿开!
lyjwy12的博客
07-16 2568
Linux内核是操作系统的核心,它控制对系统资源(例如:CPU、I/O设备、物理内存和文件系统)的访问。在引导过程中以及系统运行时,内核会将各种消息写入内核环形缓冲区。这些消息包括有关系统操作的各种信息。 内核环形缓冲区是物理内存的一部分,用于保存内核的日志消息。它具有固定的大小,这意味着一旦缓冲区已满,较旧的日志记录将被覆盖。 dmesg命令行实用程序用于在Linux和其他类似Unix的操作系统中打印和控制内核环形缓冲区。对于检查内核启动消息和调试与硬件相关的问题很有用。 在本教程中,我们将介绍dmesg
Linux内核信息相关命令:dmesg
最新发布
网络技术联盟站
07-27 525
Linux 操作系统中,dmesg命令来显示与内核相关的消息,dmesg 命令提供了许多不同的消息,比如与消息相关的存储、模块、中断等。dmesg 缓冲区是实时填充的,但是当我们运行 dmesg 命令时,只会显示最新消息,随着时间的推移,一些新消息可能会到达 dmesg 缓冲区,但它们不会实时显示,-follow我们可以使用该选项实时显示 dmesg 消息。由于有很多 dmesg 消息,我们可能希望针对特定字符串过滤它们,该grep命令可用于过滤特定字符串,在以下示例中,我们过滤包含“安全”的行。
你真的会调试 Linux 内核故障吗,看完这一篇后你会茅塞顿开的!
运维派
12-01 496
Linux内核是操作系统的核心,它控制对系统资源(例如:CPU、I/O设备、物理内存和文件系统)的访问。在引导过程中以及系统运行时,内核会将各种消息写入内核环形缓冲区。这些消息包括有关...
dmesg权限异常
LEAD_SOLO的专栏
06-15 2244
非root用户使用dmesg命令报错如下。dmesg: klogctl: Operation not permitted如要临时开放可按照如下修改diff --git a/kernel/kernel/printk.c b/kernel/kernel/printk.c index 145d69cc9
dmesg命令 显示开机信息
01-09
dmesg命令被用于检查和控制内核的环形缓冲区。kernel会将开机信息存储在ring buffer中。您若是开机时来不及查看信息,可利用dmesg来查看。开机信息保存在/var/log/dmesg文件里。 语法格式:dmesg [参数] 常用参数: ...
Linux dmesg命令用法详解
01-20
Linux dmesg命令 Linux dmesg命令用于显示开机信息。 kernel会将开机信息存储在ring buffer中。您若是开机时来不及查看信息,可利用dmesg来查看。开机信息亦保存在/var/log目录中,名称为dmesg的文件里。 语法dmesg ...
Linux dmesg命令:显示开机信息
01-07
答案是肯定的,使用 dmesg 命令就可以。无论是系统启动过程中,还是系统运行过程中,只要是内核产生的信息,都会被存储在系统缓冲区中,已经为大家精心准备了大数据的系统学习资料,从Linux-Hadoop-spark-……,...
Dmesg输出程序错误信息
08-02
dmesg命令输出segfault at * rip * rsp * error 4
dmesg_exporter:“ dmesg” prometheus导出器-来自内核消息环形缓冲区的度量
02-03
dmesg_exporter 一个导出器,它从收集度量。 用法 dmesg_exporter [OPTIONS] start [start-OPTIONS] Help Options: -h, --help Show this help message [start command options] --path= path to serve metrics ...
EtherCAT IGH 驱动一个步进电机
u014077947的博客
10-22 4577
EtherCAT IGH 驱动一个步进电机。
调试 Linux 内核故障
白衣不染尘的博客
01-16 3370
调试 Linux 内核故障使用 dmesg 命令格式化 dmesg 输出过滤 dmesg 输出清除环形缓冲区结论 Linux 内核是操作系统的核心,它控制对系统资源(例如:CPU、I/O设备、物理内存和文件系统)的访问。在引导过程中以及系统运行时,内核会将各种消息写入内核环形缓冲区。这些消息包括有关系统操作的各种信息。 内核环形缓冲区是物理内存的一部分,用于保存内核的日志消息。它具有固定的大小,这...
Linux命令每日一知】dmesg--内核日志输出
简简单单兔呦
07-15 7151
2020-07-15 上海 命令解释 dmesg命令用来输出linux内核的相关日志信息 man page: dmesg - print or control the kernel ring buffer 日志内容保存在文件: /var/log/dmesg 内核的日志也有对应的日志级别,可以在日志内容输出的时候使用--level=xx1,xxx2格式来控制 日志级别 描述 对应命令的参数值 LOG_EMERG system is unusable emerg LOG_ALERT .
linux下编译运行驱动
zeroboundary的专栏
07-10 1万+
linux下编译运行驱动 嵌入式linux下设备驱动的运行和linux x86 pc下运行设备驱动是类似的,由于手头没有嵌入式linux设备,先在vmware上的linux上学习驱动开发。 按照如下方法就可以成功编译出hello world模块驱动。 1、首先确定本机linux版本 怎么查看Linux的内核kernel版本? 'uname'是Linux/unix系统中用来查看系统信息的命
解决系统日志: kernel: printk: xxxx messages suppressed. 问题
weixin_34008784的博客
02-04 473
故障说明:  会员访问网站慢。故障检查方法:  系统负核 10 以下,网络线路通畅,资料库无死锁进程;  系统日志出现大量:kernel: printk: xxxx messages suppressed.资讯。  dmesg 指令后发现大量以下资讯:  TCP: drop open request from 202.153.162.100/62751  printk: 78...
Linux dmesg显示可读时间方式
热门推荐
zhanghaiyang9999的专栏
08-31 4万+
直接用dmesg显示系统信息,很难看 [95721.670025] snapshot device recevied [read] io request, access on dev sector[272], length is [240] sectors. [95721.670363] device is closed [95721.693207] device is closed 显示的时间...
insmod 时出现的错误
linuxdriverdeveloper的专栏
02-16 7172
情况1.   从另外一个版本中为了测试模块拷贝到本系统中 现象: sudo insmod ft52x6_ts.ko insmod: error inserting 'ft52x6_ts.ko': -1 Invalid module format 原因: (1). 所用内核源码版本号与目前使用的内核不同; (2). 编译目标不同,比如编译的是i686,装好的是i386; (3). 使用编译
dmesg中打印_讲解Linux下的Dmesg命令:格式化及过滤dmesg输出、清除环形缓冲区...
weixin_34910865的博客
01-30 1778
在本文中,我们将介绍Linuxdmesg命令的基础知识。Linux内核是操作系统的核心,它控制对系统资源(例如CPU、I/O设备、物理内存和文件系统)的访问,在引导过程中以及系统运行时,内核会将各种消息写入内核环形缓冲区,这些消息包括有关系统操作的各种信息。内核环形缓冲区是物理内存的一部分,用于保存内核的日志消息,它具有固定的大小,这意味着一旦缓冲区已满,较旧的日志记录将被覆盖。dmesg命令行...
dmesg buffer
05-25
Linux 中,dmesg 是一个命令行工具,用于显示内核环缓冲区(kernel ring buffer)的内容。内核环缓冲区是内核用来存储各种系统消息和内核日志的缓冲区,包括启动信息、硬件检测信息、设备驱动信息、内核错误信息...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值