禁止以 root 用户启动容器

已于 2022-03-09 10:35:42 修改
阅读量881 收藏 2
点赞数
分类专栏: Kubernetes 文章标签: kubernetes docker 容器
于 2022-03-09 10:29:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fushan2012/article/details/123370880
版权

介绍

通过禁止以 root 用户启动容器,可以限制容器内进程的可用权限,降低被容器中恶意进程通过 root 权限入侵/破坏用户应用、主机甚至整个集群的风险。
如果确认当前工作负载确实需要以 root 用户启用容器的话,可以忽略此检查项。

修复办法

修改 Dockerfile 创建一个非 root 用户并通过 User 指令使用这个用户,同时修改工作负载的 Pod Spec 中的 securityContext 定义,增加 runAsNonRoot: true 配置

示例

# Dockerfile
RUN addgroup -S nonroot && adduser -u 65530 -S nonroot -G nonroot
USER 65530

# Pod Spec (container configuration)
securityContext:
  runAsNonRoot: true

参考文章

fushan2012
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
为什么 Docker 容器中的进程不应该以 root 身份运行
学海无涯苦作舟的博客
09-07 1707
Docker 容器中的进程不应以 root 身份运行。以您指定为 Dockerfile 的一部分或使用docker run. 这通过减少对容器中任何威胁的攻击面来最大限度地降低风险。在本文中,您将了解以 root 身份运行容器化应用程序的危险。您还将看到如何创建一个非 root 用户并在不可能的情况下设置命名空间。
容器安全 - 不要以root用户容器内运行
锐意工作室
01-17 3463
文章目录容器安全 - 不要以root用户容器内运行不要以root用户容器内运行查看容器内运行的用户指定容器内运行的用户为什么不要以root用户容器内运行安全原则安全假设安全风险参考文档 容器安全 - 不要以root用户容器内运行 不要以root用户容器内运行 As a best practice, run your containers as a non-root user (UID not 0). By default, containers run with root privileges
k8s 容器内操作报Permission defined,以root运行容器,定义Pod的特权和访问控制权限
qq_32352777的博客
05-10 1万+
目录 前言 查阅官方文档,找答案 解决方案 前言 当我们通过Pods、Daemon Sets、Deployments等方式运行pod时,大部分镜像容器默认是无特权的运行,独立用户运行的,以elastic/filebeat为例,查看用户用户组: 可以看到默认是使用uid=1000的filebeat用户,当我们想在容器中创建文件、或者修改文件就会提示Permission defined,如下图所示: 我们可以看到filebeat用户没有写的权限,如果要解决这个问题我们可以通过
docker容器进程以非root用户身份运行
最新发布
weixin_44800629的博客
05-21 508
但这可能会带来严重的安全问题。实际上,如果以root用户运行容器内部的进程,就是以root用户身份运行主机的进程。将在系统中添加一个名为 aifgw 的新用户,其家目录为 /home/aifgw,默认 shell 为 bash,并将其初始组设置为 root。2、通过修改基础镜像,/etc/resolv.conf 和 /etc/hosts,编译为容器后没有挂载成功,经过查询官方文档。为 /etc/resolv.conf 和 /etc/hosts外置挂载,无法通过dockerfile挂载到容器中。
Kubernetes SecurityContext 安全上下文 runAsUser以及阻止容器使用 root 户运行
小楼一夜听春雨,深巷明朝卖杏花
08-05 8302
配置节点的安全上下文 除了让 pod 使用宿主节点的 Linux 命名空间,还可以在 pod 或其所属容器的描述中通过 security Context 边项配置其他与安全性相关的特性。这个选项可以运用于整个 pod ,或者每个 pod 中单独的容器。 了解安全上下文中可以配置的内容,配置安全上下文可以允许你做很多事 指定容器中运行进程的用户用户ID )。 阻止容器使用 root 户运行(容器的默认运行用户通常在其镜像中指定,所以可能需要阻止容器 root 用户运行 使用特权模式运行
docker 不进入容器执行命令
liwench的博客
07-01 987
docker 不进入容器执行命令 平时都会用 docker exec -it ContainerId bash 进入容器执行命令,其实也可以不进入容器执行命令 例如: //测试nginx配置文件是否正确 docker exec -it ContainerId nginx -t //查看tmp下文件 docker exec -it ContainerId ls /tmp ...
podman root用户容器自启
dabaohjl的博客
05-23 306
容器开机自启 查看网络配置 [root@duanruhui ~]# ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever p
Docker 常见问题解决
01-09
启动 docker 某服务,只显示 ipv6 的端口信息。ipv4 无端口信息,导致外部无法通过 ipv4 访问服务,报 Connection refused 错误 解决方法 在服务器上禁用 ipv6 vim /etc/default/grub 在第6行中增加 ipv6.disable=1...
mysql-5.7.44-linux-glibc2.12-x86-64.tar.gz
01-24
- **Securing the MySQL Installation**:运行`mysql_secure_installation`脚本,以加强MySQL的安全性,例如删除匿名用户禁止root远程登录、删除测试数据库等。 ``` bin/mysql_secure_installation ``` - **...
docker安全性分析.docx
11-25
例如,以下命令可以启动一个容器禁止其设置用户ID(setuid)和设置组ID(setgid)的能力: ```shell docker run --cap-drop setuid --cap-drop setgid ``` 综上所述,Docker的安全性涉及多方面,需要综合运用...
linux下mysql5.7.26的rpm安装文件.zip
11-20
现在,你可以使用`mysql_secure_installation`脚本来增强MySQL的安全性,这将包括删除匿名用户禁止root远程登录、删除测试数据库等步骤: ```bash sudo mysql_secure_installation ``` 在交互式提示中,按照提示...
群晖中docker开启ssh.docx
09-13
启动服务后,需要设置 root 密码,因为 SSH 的空密码是被禁止的。可以使用以下命令来设置密码: `passwd` 设置密码后,需要测试 SSH 服务是否正常工作。可以使用远程连接工具来连接容器,测试 SSH 服务是否正常...
Docker安全机制详解(容器资源限制)
ly2020_的博客
08-09 1352
1.Docker安全 Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全 当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。 与虚拟机方式相比,通过Linux namespace来实现的隔离不是那么彻底。 容器只是...
docker 容器的进入 停止 启动
yz18931904的博客
04-16 379
进入 Docker 容器 进入容器:docker exec -it cef0d139bfd6 bash 其中 i 表示交互式的,也就是保持标准输入流打开; t 表示虚拟控制台,分配到一个虚拟控制台; 退出容器:exit 客户机访问容器 从客户机上访问容器,需要有端口映射,docker 容器默认采用桥接模 式与宿主机通信,需要将宿主机的 ip 端口映射到容器的 ip 端口上; 停止容器:docker stop 容器 ID/名称 ...
docker不进入容器执行命令
qq_50247813的博客
07-30 2531
1、dockerexec-it容器实例/bin/bash-c’命令’
Docker容器逃逸
weixin_44720441的博客
08-23 1172
Docker容器逃逸指的是攻击者通过劫持容器化业务逻辑或直接控制(CaaS等合法获得容器控制权的场景)等方式,已经获得了容器内某种权限下的命令执行能力;攻击者利用这种命令执行能力,借助一些手段进而获得该容器所在的直接宿主机(当遇到“物理机运行虚拟机,虚拟机再运行容器”的场景时,该场景下的直接宿主机指容器外层的虚拟机)上某种权限下的命令执行能力。
【Docker 那些事儿】如何安全地进入到容器内部
热门推荐
Edison's 小宇宙
06-12 1万+
镜像是构建容器的蓝图,Docker以镜像为模板,构建出容器。本文将对 容器的运行 及相关内容进行详细讲解。
docker 错误排查:无法进入容器.
weixin_34174422的博客
12-11 3518
docker 错误排查:无法进入容器. #docker exec -it 3c1d bash rpc error: code = 2 desc = oci runtime error: exec failed: container_linux.go:247: starting container process caused "process_linux.go:110: decoding init...
Root用户启动docker容器
06-10
可以通过在非Root用户的账户中添加到docker用户组来启动docker容器。具体步骤如下: 1. 添加docker用户组 ``` sudo groupadd docker ``` 2. 将当前用户添加到docker用户组 ``` sudo gpasswd -a ${USER} docker ``` 3. 重新登录当前用户 4. 验证当前用户是否已经加入docker用户组 ``` docker info ``` 5. 启动docker容器 ``` docker run [OPTIONS] IMAGE [COMMAND] [ARG...] ``` 需要注意的是,非Root用户启动容器时,容器内的进程将以该用户的身份运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值