pod 禁止执行的 dmesg

最新推荐文章于 2024-06-13 12:38:57 发布
最新推荐文章于 2024-06-13 12:38:57 发布
阅读量616 收藏 2
点赞数 7
分类专栏: kubernetes 文章标签: 容器 云原生 运维 kubernetes linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenhongloves/article/details/138252365
版权
文章解释了在KubernetesPod中执行dmesg命令为何会显示宿主机内核日志,因为所有Pod共享同一内核。讨论了内核共享的原理以及如何通过修改kernel.dmesg_restrict参数来实现安全隔离,允许或限制Pod访问dmesg。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

为什么 pod 里面执行的 dmesg 命令和系统里面的一样,不是应该环境分离吗?

在 Kubernetes 环境中,尽管 Pod 提供了与主机系统隔离的运行环境,但它们仍然与宿主机共享某些底层资源和环境,如内核。这种设计使得在任何 Pod 内部执行的 dmesg 命令显示的是宿主机的内核日志,而不是特定于 Pod 的日志。

原因解释

内核共享:所有在同一宿主机上的容器(包括 Pod 内的容器)都运行在同一个操作系统内核之上。dmesg 命令显示的是内核的环环缓冲区消息,这些消息是系统级别的,不是隔离在单独的容器或 Pod 中的。

安全和隔离的考虑

修改内核参数

在宿主机上,可以修改 kernel.dmesg_restrict 内核参数。当设置为 1 时,限制非特权用户禁止访问 dmesg,这样设置后,只有具有 CAP_SYS_ADMIN 能力的用户才能访问 dmesg

  • kernel.dmesg_restrict 为 0
    pod 拥有执行 dmesg 权限
# kubectl apply -f - <<EOF
apiVersion: v1
kind: Pod
metadata:
  name: ubuntu-dmesg
spec:
  nodeSelector:
    kubernetes.io/hostname: "172.31.1.127"
  containers:
    - name: ubuntu
      image: ubuntu:20.04
      command: ["sh", "-c", "sleep infinity"] # 持续运行容器
EOF
pod/ubuntu-dmesg created

# kubectl exec -it ubuntu-dmesg -- dmesg | head -n 2
Defaulted container "ubuntu" out of: ubuntu, k8tz (init)
<
最低0.47元/天 解锁文章
kubespray部署Kubernets集群
悦分享
10-13 378
Kubernetes Dashboard 是一个管理Kubernetes集群的全功能Web界面,旨在以UI的方式完全替代命令行工具(kubectl 等)。kubespray 默认已经部署了dashboard,我们只需要简单修改kubeconfig 文件,然后在通过ingress 添加路由就能正常访问。2、修改dashboard文件添加nodeport访问方式。
你真的会调试 Linux 内核故障吗,看完这一篇后你会茅塞顿开的!
运维派
12-01 601
Linux内核是操作系统的核心,它控制对系统资源(例如:CPU、I/O设备、物理内存和文件系统)的访问。在引导过程中以及系统运行时,内核会将各种消息写入内核环形缓冲区。这些消息包括有关...
dmesg权限异常
LEAD_SOLO的专栏
06-15 3022
非root用户使用dmesg命令报错如下。dmesg: klogctl: Operation not permitted如要临时开放可按照如下修改diff --git a/kernel/kernel/printk.c b/kernel/kernel/printk.c index 145d69cc9
Linux内核日志查看之dmesg命令简介
热门推荐
guotianqing的博客
09-04 4万+
简介 dmesg is used to examine or control the kernel ring buffer. The default action is to display all messages from the kernel ring buffer. Linux内核启动时会加载硬件驱动,在有新硬件时也会加载驱动,如果想要查看内核的活动,可以使用dmesg命令。 Linux内核日志存储在一个ring-buffer中,它的大小是固定的,当队列满时,新的消息会覆盖掉最旧的消息。 实际
Linux操作系统内核参数调优-2
weixin_41312759的博客
03-10 2236
综上所述,Linux内核参数调优是系统管理员和运维人员必须掌握的技能之一,它不仅能够提升系统的性能,还能够提高系统的稳定性和安全性,是确保Linux系统高效运行的关键步骤。在进行调优时,应该根据具体的应用场景和需求来选择合适的参数进行优化,并且需要在调优后进行充分的测试,以确保调优效果达到预期目标。此外,调优过程中应该谨慎操作,避免过度调优导致系统不稳定。在调优之前,建议先进行基线测试,了解系统在默认配置下的性能表现,然后再根据测试结果逐步调整参数,并持续监控系统的表现,以确保调优措施能够带来预期的效果。
Linux Kernel 编程-你不知道的printk(1)
rayylee
06-13 1144
内核版本:6.1+我们都知道 linux通过 printk()这个 API 记录内核日志,printk有很多细节,并且linux内核中提供了新的API记录日志。下面将深入探讨一些细节。这些对内核/驱动开发人员来说,清楚地理解这些非常重要。
k8s最佳实践:cgroup kmem的内存泄露问题
Y先森0.0
05-16 4891
k8s最佳实践:cgroup kmem的内存泄露问题 1.前言 这篇文章的全称应该叫:[在某些内核版本上,cgroup 的 kmem account 特性有内存泄露问题],如果你遇到过 pod 的 "cannot allocated memory"报错,node 内核日志的“SLUB: Unable to allocate memory on node -1”报错,那么恭喜你中招了。 2.现象 ...
Linux攻击排查
YangLuxxx123
06-23 1466
入侵排查 1.2 历史命令 1.3 检查端口 1.4 检查异常进程 1.5 检查卡机启动项 运行级别 含义 0 关机 1 单用户模式,可以想象为windows的安全模式,主要用于系统修复 2 不完全的命令行模式,不含NFS服务 3 完全的命令行模式,就是标准字符界面 4 系统保留 5 图形模式 6 重启动 查看运行状态 入侵排查 1.6 检查定时任务 [linux下crontab与anacrontab的使用 ]crond 常用参数anacron 异步定时
README
vekrio的博客
10-25 3304
stu linux学习 1:centos7查看版本信息 登陆root帐户,输入 cat /etc/redhat-release,即可显示系统版本 输入 uname -r ,可以查询内核版本 输入 df -h,可以查看各分区的使用情况。其中,从左到右各列的内容依次是: 文件系统、总大小、已使用大小、剩余大小、使用率、挂载点。 输入du -sh,则可以查...
Linux 系统设置 : dmesg 命令详解
yexiangCSDN的专栏
06-13 3510
dmesg命令被用于检查和控制内核的环形缓冲区。kernel会将开机信息存储在ringbuffer中。您若是开机时来不及查看信息,可利用dmesg来查看。开机信息保存在/var/log/dmesg文件里。系统在启动的时候,会写一些硬件相关的日志到 /var/log/message* 或 /var/log/boot* 文件中 语法 dmesg(选项) 选项 -c :...
【Shell 命令集合 系统设置 】⭐Linux 显示Linux内核环缓冲区的内容 dmesg命令 使用指南
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
06-28 693
dmesg命令用于显示Linux内核环缓冲区的内容,提供了关于系统启动过程和硬件设备的详细信息。它可以帮助用户诊断和解决与内核相关的问题。
linux读取内核缓冲区失败,linux – md-device上的缓冲区I / O错误 – 无法识别故障驱动器...
weixin_34342091的博客
05-01 672
smartctl -a /dev/sdaID# ATTRIBUTE_NAME FLAG VALUE WORST THRESH TYPE UPDATED WHEN_Failed RAW_VALUE5 Reallocated_Sector_Ct 0x0033 099 099 010 Pre-fail Always - ...
linux读取内核缓冲区失败,LINUX系统编程 关于SDTIO库缓冲区
weixin_29041195的博客
05-01 777
我们知道标准C中的文件读取的函数比如printf,fwrite等函数,实际都是调用OS级别的API,比如LINUX下就是wirte,read函数,而write read函数在用户态下是没有缓冲的,当然在内核态有OS CACHE/OS BUFFER,所以某些直接调用wirte,read的程序肯定会分配一个缓冲区,特别是O_DIRECT这种方式下,内核态的OS CACHE和OS BUFFER没用这种情...
LinuxLinux下的dmesg命令
love131452098的博客
12-01 1578
Linux系统中‘dmesg’命令处理故障和收集系统信息的7种用法
Decisiveness的专栏
05-30 1605
Linux系统中‘dmesg’命令处理故障和收集系统信息的7种用法 本篇文章来源于 Linux公社网站(www.linuxidc.com)  原文链接:http://www.linuxidc.com/Linux/2014-08/105429.htm   ‘dmesg’命令显示linux内核的环形缓冲区信息,我们可以从中获得诸如系统架构、cpu、挂载的硬件,RAM等多个运行级别的大量的系统信息
Linux系列】Linuxdmesg命令详解
CSDN明星博主,认证博客专家,视频、Matlab领域优质创作者。
05-15 9724
dmesg’命令对设备故障的诊断是非常重要的。在‘dmesg’命令的帮助下进行硬件的连接或断开连接操作时,我们可以看到硬件的检测或者断开连接的信息。‘dmesg’命令在多数基于Linux和Unix的操作系统中都可以使用。今天在调试硬件设备时,设备API报错但是没有打印信息,可以通过dmesg命令查看,应该是硬件将相关API使用报错写到了这个ring buffer中。记录在里面,以备后面使用。
内核模块调试方法
uuussseeennn的专栏
05-30 4353
关键字: 内核模块调试方法 对于任何一位内核代码的编写者来说,最急迫的问题之一就是如何完成调试。由于内核是一个不与特定进程相关的功能集合,所以内核代码无法轻易地放在调试器中执行,而且也很难跟踪。同样,要想复现内核代码中的错误也是相当困难的,因为这种错误可能导致整个系统崩溃,这样也就破坏了可以用来跟踪它们的现场。 本章将介绍在这种令人痛苦的环境下监视内核代码并跟踪错误的技术。 4.1
Linux系统安全加固指南(万字长文)
ITIL之家公众号
03-19 1606
更多专业文档请访问 www.itilzj.com本指南旨在说明如何尽可能地加强Linux的安全性和隐私性,并且不限于任何特定的指南。免责声明:如果您不确定自己在做什么,请不要尝试在本文中使...
dmesg 错误处理
weixin_34006468的博客
10-22 1029
我的两台服务器里dmesg里有以下错误,请教是什么原因? os :rhel4.4 服务器型号: hp dl380 g4 ,g5 shpchp: acpi_shpchprm:\_SB_.PCI0 evaluate _BBN fail=0x5 shpchp: acpi_shpchprm:get_device PCI ROOT HID fail=0x5 shp...
dmesg
最新发布
03-16
好的,用户想了解如何在Linux或Unix系统中使用dmesg命令。首先,我需要回忆dmesg的基本功能和常见用法。dmesg主要用于查看内核环形缓冲区中的消息,这些消息包括硬件检测、设备驱动初始化、系统启动过程中的信息等。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值