非root运行docker容器

已于 2024-01-28 19:59:58 修改
阅读量577 收藏 8
点赞数 5
文章标签: docker 容器 非root setuid setcap
于 2024-01-28 19:51:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ggaofengg/article/details/135899178
版权

一、非root运行docker容器

1、自己的容器,可以在dockerfile中处理一下

FROM ubuntu:24.04
COPY ./myapp  /myapp

RUN groupadd --gid 5000 newuser \
    && useradd --home-dir /home/newuser --create-home --uid 5000 \
        --gid 5000 --shell /bin/sh --skel /dev/null newuser
USER newuser
CMD  /myapp

2、第三方镜像,Kubernetes中Pod安全上下文和Pod安全策略,可以帮助我们以非root身份运行三方镜像。

3、使用Kubernetes Pod安全策略,可以阻止root启动的容器运行

参考:如何以非root用户运行Docker容器_用非root账号登录pod-CSDN博客

 二、如何用非root用户启动dockerd?

dockerd由于使用了linux domain socket,需要root用户启动,如何用非root用户启动呢?

方法1、sudo

方法2、创建docker用户和用户组,具体是什么原理呢???

参考:docker基础:使用非root用户操作docker_docker 不用root-CSDN博客

 三、如何用非root用户运行tcpdump,ping?

方法1、setuid,setgid

方法2、setcap,getcap

参考:谁说抓包必须用root权限-CSDN博客

ping,tcpdump这个程序,我们可以通过chmod允许普通用户执行,但它访问网卡某些系统调用时,内核要求必须是root用户

ping一般大家以普通用户使用发现没有什么问题,因为操作系统默认给他加了权限。

有的操作系统用的是setuid的方法,可以 ll /bin/ping看一下权限位中有没有s权限

有的操作系统用的是setcap方法,可以用getcap /bin/ping看一下

$ getcap /bin/ping
/bin/ping = cap_net_raw+ep

通过setcap可以设置权限,比如

gaofeng@ubuntu:~/c_code$ ./hello3
main is running
create iSocket error, check root          //没有rawsocket权限

sudo setcap cap_net_admin,cap_net_raw=eip hello3

或 sudo setcap cap_net_raw+eip hello3

也可以用 setcap -r hello3 移除权限设置

ggaofeng
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker容器中crontab无法正常运行解决方案
01-11
相信很多人看完docker容器, 需要加crontab, 加完却发现不能执行,心塞…..接着便开始各种折腾… 首先当然是看日志了, 发现/var/log 下面没有任何信息, 那是因为你没有打开rsyslog. # /etc/init.d/rsyslog start 继续看日志 # tail /var/log/crond Dec 29 16:39:01 web01-50794 crond[2839]: (root) FAILED to open PAM security session (Cannot make/remove an entry for the specified sessio
docker基础:使用root用户操作docker
知行合一 止于至善
03-18 1万+
这篇文章用于介绍使用root用户操作docker。根据企业的安全策略,有一些情况下无法获取root用户的直接使用方式,通过docker或者sudo的方式使用docker变成了这种情况下的选择之一。
解决docker用户权限问题
KuerG的博客
11-22 270
刚下载的的diocker在使用时因为权限问题总是在使用命令时带上sudoPS:方法一只能保证当前终端可以不用考虑权限问题,当开启新的终端时还会出现权限问题,所以推荐使用方法二。
记录 | root用户使用docker的方法
极智视界
02-21 637
记录 | root用户使用docker的方法
如何以root用户运行Docker容器
琦彦
04-07 1万+
原文发表于kubernetes中文社区,为作者原创 原文地址 需要用root用户运行Docker? 组织中,经常以Root用户运行Docker中的容器。但是你的工作负载真的需要root权限吗?显然很少。尽管如此,默认情况下,你的容器仍将以root用户身份运行。但这可能会带来严重的安全问题。实际上,如果以root用户运行容器内部的进程,就是以root用户身份运行主机的进程。这就为那些恶意访问主...
root用户、sudo方式使用docker命令
相约黄昏后
08-04 543
从现在开始,普通用户(root用户)也可以在没有sudo权限的情况下使用Docker了!将用户添加到docker组后,注销并重新登录,使更改生效。
设置root用户操作使用docker
redrose2100的博客
09-22 4240
本文详细介绍了如何设置root用户如何使用docker的问题
docker系列】使用root用户安装及启动docker(rootless模式运行)
热门推荐
字母哥博客
05-20 2万+
字母哥只出精品原创,使用root用户安装及启动docker(rootless模式运行)
一份超实用的 Docker 容器 root 启动实战教程
easylife206的专栏
11-15 616
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !本文总结了业务容器 root 启动改造实战经验,强调了 root 启动的重要性和一些基础知识。文章提供了一些建议,如设置容器内进程的最小权限,使用 USER 指令或者启动脚本来切换用户,以及处理机器码获取等技巧。还包括不同容器镜像的修改和构建过程,以满足 root 启动要求,特别提到了 CoreDNS 和 C...
root用户直接使用docker命令,而不是使用sudo
两份雪糕的博客
05-30 510
docker需要root权限,如果希望root用户直接使用docker命令,而不是使用sudo,可以选择将该用户加入到docker用户组。
设置docker命令可以在root用户下执行
javascript_good的博客
06-13 258
docker需要root权限,但是如果使用sudo命令,环境变量会变化。
docker容器里安装ssh的具体步骤
01-10
docker安装ssh 通过命令行安装 1.pull ubuntu镜像 docker pull ubuntu:latest 2.启动并进入bash docker run -it -d ubuntu:lastest /bin/bash # 查看刚刚运行容器的id docker ps # 在容器中执行bash命令 docker exec -it id /bin/bash 3.安装openssh-server并启动 apt-get update apt-get install openssh-server # 启动之前需手动创建/var/run/sshd,不然启动sshd的时候会报错
docker容器中使用root用户执行脚本操作
01-20
应用容器化之后,在docker容器启动时,默认使用的是root用户执行命令,因此容器中的应用默认都是使用root用户来运行的,存在很高的安全风险,那么如何能够使用root的业务用户来运行应用呢, 下面我将举一个简单的...
eclipse:在 docker 容器运行 eclipse
07-12
罐头里的Eclipse 通过 X11 端口转发运行 eclipse。 ./run.sh 使用密码root
docker容器中切换用户,提示权限不足的解决
01-20
docker容器中切换用户,提示权限不足: 解决办法: 启动容器是使用特权启动: docker run -i -t –privileged -v /home/dora:/home/dora centos_ora /bin/bash 补充知识:linux下docker使用普通权限运行 linux下...
Docker基本管理
yunjisuanxietu的博客
04-22 961
device mapper:是Linux内核中支持逻辑卷管理的通用设备映射机制,它为实现用于存储资源管 理的块设备驱动提供了一个高度模块化的内核架构。容器 是在linux上本机运行,并与其他容器共享主机的内核,它运行的是一个独立的进程,不占 用其他任何可执行文件的内存,常轻量。在上传镜像之前,还需要先对本地镜像添加新的标签,然后再使用 docker push 命令进行上传。
使用 Docker 自建一款怀旧游戏之 - 超级马里奥
最新发布
Toasten
04-25 515
《 超级马里奥 》(Super Mario)是任天堂公司创造的一款经典游戏系列,是世界上最知名、最成功的游戏之一。这个系列由日本设计师宫本茂于 1985 年创造,最初的游戏名为《超级马里奥兄弟》(Super Mario Bros.),推出后风靡全球。
Docker - HelloWorld
一个编程爱好者的博客
04-21 581
在学习本小节之前,你必须确保你正确安装了 Docker,正确安装 Docker 是后续学习的前提,务必确保你已经成功安装。 另外当你在学习本小节时,可能会出现你完全按照教程进行,但是运行结果并不与教程相符合的情况。这种情况不必担心,因为 Docker 镜像源默认是在海外,国内访问可能不够稳定,在后续的章节中会一一解决这些问题。 在本章节中的所有关于 Docker 的专有名词,如 镜像、容器、仓库等,不理解属于正常情况,这些内容都会在后续中进行讲解。
Docker 基本管理
2301_81307988的博客
04-22 778
Docker是一个开源的应用容器引擎,基于go语言开发并遵循了apache2.0协议开源。Docker是在Linux容器运行应用的开源工具,是一种轻量级的“虚拟机”。Docker容器技术可以在一台主机上轻松为任何应用创建一个轻量级的、可移植的、自给自足的容器Docker的Logo设计为蓝色鲸鱼,拖着许多集装箱。鲸鱼可看作为宿主机,集装箱可理解为相互隔离的容器,每个集装箱中都包含自己的应用程序。Docker的设计宗旨。
Root用户启动docker容器
06-10
可以通过在Root用户的账户中添加到docker用户组来启动docker容器。具体步骤如下: 1. 添加docker用户组 ``` sudo groupadd docker ``` 2. 将当前用户添加到docker用户组 ``` sudo gpasswd -a ${USER} docker ``` 3. 重新登录当前用户 4. 验证当前用户是否已经加入docker用户组 ``` docker info ``` 5. 启动docker容器 ``` docker run [OPTIONS] IMAGE [COMMAND] [ARG...] ``` 需要注意的是,Root用户启动容器时,容器内的进程将以该用户的身份运行

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值