特权模式
securityContext:
capabilities:
add:
- SYS_ADMIN
- DAC_READ_SEARCH
privileged: true
https://www.kubernetes.org.cn/security-context-psp
https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/security-context/#%E6%8E%A5%E4%B8%8B%E6%9D%A5
这段代码是Kubernetes中的Pod配置文件中的securityContext
部分。它用于定义容器的安全上下文。
capabilities
字段指定了容器可以具备的特权。在这个例子中,容器被授予了SYS_ADMIN
和DAC_READ_SEARCH
的能力。SYS_ADMIN
代表系统管理员权限,允许容器对主机系统进行高级操作。DAC_READ_SEARCH
代表读取和搜索文件的权限,允许容器对主机文件系统进行访问。
privileged
字段设置为true
,表示容器将以特权模式运行。这意味着容器将具有更高的权限,可以执行更敏感和特权的操作。
通过使用这些配置,您可以在Kubernetes集群中配置容器的安全性和权限级别。请注意,在为容器设置特权模式时,需要谨慎考虑潜在的安全风险,并确保只向可信的容器授予特权。
Docker
要查看容器是否开启了特权模式,可以使用以下命令:
- 使用
docker ps -a
命令列出所有容器的信息。 - 找到您感兴趣的容器,并记下其容器ID或名称。
- 使用
docker inspect <container_id_or_name>
命令来获取容器的详细信息。 - 在返回的 JSON 输出中,查找
"HostConfig"
部分。 - 在
"HostConfig"
部分中查找"Privileged"
字段。如果该字段的值为true
,则表示容器已开启特权模式。如果值为false
或者该字段不存在,则表示容器未开启特权模式。
请注意,只有在具有足够权限的情况下,才能运行 docker
命令。
containerd
nerdctl ps -a | grep xxx
nerdctl inspect bbed5136dc28 | grep Privileged ???