docker rootless

于 2024-07-26 11:16:16 发布
阅读量721 收藏 9
点赞数 8
文章标签: docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ghvnop/article/details/140707051
版权

非root用户无法运行Docker,使用root权限启用Docker服务时,外部可针对Docker守护程序或运行中的容器的漏洞间接获取到root权限,在 V19.03 中实验性引入Rootless mode用于缓解守护程序和容器运行时中的潜在漏洞。V20.10 正式使用。
环境搭建:
containerd.io
docker-ce-rootless-extras-20.10.0-3.el8.x86_64.rpm
fuse-overlayfs-1.6-1.x86_64.rpm
slirp4netns-1.1.8-1.x86_64.rpm
container-selinux-2.158.0-1.rpm
fuse3-3.2.1-12.x86_64.rpm
libslirp-4.3.1-1.x86_64.rpm
docker-ce-20.10.0-3.x86_64.rpm
fuse3-libs-3.2.1-12.x86_64.rpm
docker-ce-cli-20.10.0-3.x86_64.rpm
fuse-common-3.2.1-12.x86_64.rpm
shadow-utils46-newxidmap-4.6-4.el7.ppc64le.rpm

shadow-utils46-newxidmap下载地址:
https://download.copr.fedorainfracloud.org/results/vbatts/shadow-utils-newxidmap/epel-7-ppc64le/00856388-shadow-utils46/

主机上必须安装 newuidmap newgidmap uidmap(大多数Linux发行版上都默认安装,未安装执行以下命令即可)
shadow-utils-4.6-12.1.el8.x86_64

创建用户

groupadd rootless
useradd rootlessUser -g rootless
passwd rootlessUser

文件/etc/subuid及/etc/subgid中至少应包含65536 个从属 UID/GID。

cat /etc/subuid
cat /etc/subgid

在这里插入图片描述

cat <<EOT >/etc/sysctl.conf
user.max_user_namespaces = 28633
EOT
sysctl --system

启动Docker

su rootlessUser 
/usr/bin/dockerd-rootless-setuptool.sh install

根据提示添加用户环境变量:

vim ~/.bashrc
#添加以下内容
export XDG_RUNTIME_DIR=/home/rootlessUser/.docker/run
export PATH=/home/rootlessUser/bin:$PATH
export DOCKER_HOST=unix:///home/rootlessUser/.docker/run/docker.sock
#############end
source ~/.bashrc

启动dockerd

dockerd-rootless.sh --experimental --storage-driver vfs

因为socket指定在各用户的根目录下:

[fw@nydus-pull-178 run]$ pwd
/home/fw/.docker/run
[fw@nydus-pull-178 run]$ ls
docker  docker.pid  docker.sock

不同用户间dockerd彼此独立,类似于对dockerd做了usernamespace操作:
在这里插入图片描述
在这里插入图片描述

橙子汽水不加冰
关注
Docker 学习总结(78)—— Docker Rootless 让你的容器更安全
科技D人生
09-19 641
Docker Rootless 模式是官方提供的一种安全解决方案,可以让 Docker 守护进程以普通用户身份运行,从而避免容器应用利用 Docker 漏洞获得宿主机 root 权限的风险。另外,要注意的是因为Docker 作为容器本身需要利用很多系统高级特性,因此 Docker 守护进程以非 Root 身份运行实际上也会导致一些功能受限。这点可以参与官方文档详细了解。
Docker Rootless 在非特权模式下运行 Docker
cr7258的博客
12-26 4987
Docker Rootless 基本概念 Rootless 模式允许以非 root 用户身份运行 Docker 守护进程(dockerd)和容器,以缓解 Docker 守护进程和容器运行时中潜在的漏洞。Rootless 模式是在 Docker v19.03 版本作为实验性功能引入的,在 Docker v20.10 版本 GA。 Rootless 模式目前对 Cgroups 资源控制,Apparmor 安全配置,Overlay 网络,存储驱动等还有一定的限制,暂时还不能完全取代 “Rootful” Dock
使用 Rootless Docker 运行 Minikube
学习与分享
12-19 1214
Rootless 驱动 Minikube 的部署指南,比官方文档更加流畅
docker rootless安装
IT
12-22 2934
rootless模式是在 Docker Engine v19.03 中作为实验性功能引入的,从 Docker Engine v20.10 的实验中毕业。操作系统: Ubuntu 22.04 LTS。
一份超实用的 Docker 容器root 启动实战教程
easylife206的专栏
11-15 1519
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !本文总结了业务容器的非 root 启动改造实战经验,强调了非 root 启动的重要性和一些基础知识。文章提供了一些建议,如设置容器内进程的最小权限,使用 USER 指令或者启动脚本来切换用户,以及处理机器码获取等技巧。还包括不同容器镜像的修改和构建过程,以满足非 root 启动要求,特别提到了 CoreDNS 和 C...
docker rootless 无法拉取镜像
05-15
如果您在使用 Docker Rootless 时遇到了无法拉取镜像的问题,可能是由于权限问题导致的。以下是一些可能的解决方案: 1. 确保您具有拉取镜像所需的权限。您可以尝试使用 `sudo` 命令运行 Docker 命令,或者将当前...
docker rootless 如何配置registry-mirrors
05-14
使用 Docker Rootless 模式时,配置 Docker 镜像加速器可以通过设置环境变量来实现。以下是具体步骤: 1. 在用户目录下创建一个名为 `.docker` 的目录,并在其中创建 `config.json` 文件 ``` mkdir ~/.docker ...
docker rootless模式如何修改registry
05-14
Docker Rootless模式下,您可以使用以下步骤修改registry: 1. 首先,您需要在rootless用户的主目录下创建一个名为`config.json`的文件。如果该文件已经存在,则可以跳过此步骤。 2. 打开`config.json`文件,并...
docker-rootless
03-17
Docker Rootless】——在无特权环境中畅游容器世界 Docker Rootless 是 Docker 社区推出的一项创新技术,允许普通用户在没有 root 权限的环境下运行 Docker 容器。这一特性使得用户能够在个人笔记本、受限的共享...
docker系列】使用非root用户安装及启动docker(rootless模式运行)
热门推荐
字母哥博客
05-20 2万+
字母哥只出精品原创,使用非root用户安装及启动docker(rootless模式运行)
错误:软件包:docker-ce-rootless-extras-24.0.7-1.el7.x86_64 (docker-ce-stable) 需要:fuse-overlayfs
weixin_64638001的博客
11-08 1752
【代码】错误:软件包:docker-ce-rootless-extras-24.0.7-1.el7.x86_64 (docker-ce-stable) 需要:fuse-overlayfs。
dockerroot用户权限运行
zkgoup的博客
02-19 2886
运行dokcer命令时需要使用sudo权限,如果想要不是用sudo运行docker命令,可参考官网教程: https://docs.docker.com/engine/install/linux-postinstall/ 搬运如下! Manage Docker as a non-root user The Docker daemon binds to a Unix socket instead of a TCP port. By default that Unix socket is owned b
Ubuntu20.04使用zfs系统后以rootless方式安装docker测试
ffyy0106的专栏
03-14 2380
一、安装 从https://download.docker.com/linux/static/stable/下载静态二进制文件,选择对应的硬件平台链接,下载与要安装的Docker引擎版本相关的.tgz文件。 可选择下载最新的docker-xx.xx.x.tgz和docker-rootless-extras-xx.xx.x.tgz,下载后,创建/opt/docker/bin目录,将docker-xx.xx.x.tgz压缩包内的docker/目录下的文件和docker-rootless-extras-.
rootless的docker安装报错 [ERROR] Missing system requirements. Run the following commands to
qq_43608264的博客
12-01 129
https://www.jianshu.com/p/2ad9493c9d45
rootless无根容器
最新发布
flynetcn的专栏
05-08 322
无根容器是一个新的容器概念,它不需要root权限即可制定。
如何用 Rootless 模式实现普通用户运行 Docker 容器
easylife206的专栏
09-01 1289
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !Docker Rootless 基本概念Rootless 模式允许以非 root 用户身份运行Docker 守护进程(dockerd)和容器,以缓解 Docker 守护进程和容器运行时中潜在的漏洞。Rootless 模式是在 Docker v19.03 版本作为实验性功能引入的,在 Docker v20.10 版本...
docker服务端是否一定需要以root用户运行?_docker必须root启动么
2301_77116622的博客
04-15 1249
本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。另外,本书还为读者提供了大量的Linux学习资料和Ubuntu安装镜像文件,供读者免费下载。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值