查看容器是否开启了特权模式

最新推荐文章于 2024-06-05 08:50:27 发布
最新推荐文章于 2024-06-05 08:50:27 发布
阅读量1k 收藏 7
点赞数 9
分类专栏: K8s 文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hezuijiudexiaobai/article/details/136185975
版权
文章讲述了Kubernetes中securityContext的使用,特别是capabilities字段如何赋予容器SYS_ADMIN和DAC_READ_SEARCH权限,以及如何通过Docker和containerd检查容器的特权模式。强调了在使用特权模式时的安全注意事项。
摘要由CSDN通过智能技术生成

特权模式

            securityContext:
              capabilities:
                add:
                - SYS_ADMIN
                - DAC_READ_SEARCH
              privileged: true

在这里插入图片描述

https://www.kubernetes.org.cn/security-context-psp

https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/security-context/#%E6%8E%A5%E4%B8%8B%E6%9D%A5
在这里插入图片描述

这段代码是Kubernetes中的Pod配置文件中的securityContext部分。它用于定义容器的安全上下文。

  • capabilities字段指定了容器可以具备的特权。在这个例子中,容器被授予了SYS_ADMINDAC_READ_SEARCH的能力。
    • SYS_ADMIN代表系统管理员权限,允许容器对主机系统进行高级操作。
    • DAC_READ_SEARCH代表读取和搜索文件的权限,允许容器对主机文件系统进行访问。
  • privileged字段设置为true,表示容器将以特权模式运行。这意味着容器将具有更高的权限,可以执行更敏感和特权的操作。

通过使用这些配置,您可以在Kubernetes集群中配置容器的安全性和权限级别。请注意,在为容器设置特权模式时,需要谨慎考虑潜在的安全风险,并确保只向可信的容器授予特权。

在这里插入图片描述

在这里插入图片描述

Docker

要查看容器是否开启了特权模式,可以使用以下命令:

  1. 使用 docker ps -a 命令列出所有容器的信息。
  2. 找到您感兴趣的容器,并记下其容器ID或名称。
  3. 使用 docker inspect <container_id_or_name> 命令来获取容器的详细信息。
  4. 在返回的 JSON 输出中,查找 "HostConfig" 部分。
  5. "HostConfig" 部分中查找 "Privileged" 字段。如果该字段的值为 true,则表示容器已开启特权模式。如果值为 false 或者该字段不存在,则表示容器未开启特权模式。

请注意,只有在具有足够权限的情况下,才能运行 docker 命令。

containerd

nerdctl ps -a | grep xxx
nerdctl inspect bbed5136dc28 | grep Privileged ???

在这里插入图片描述
在这里插入图片描述

喝醉酒的小白
关注
专栏目录
Docker启动特权容器
SHELLCODE_8BIT的博客
09-20 989
使用--privileged参数即可。
docker run:--privileged=true选项解析(特权模式:赋予容器几乎与主机相同的权限)
热门推荐
Dontla的博客
09-18 2万+
在默认情况下,Docker对容器的权限进行了严格的限制,只提供了有限的capabilities。因此,我们需要谨慎地使用这个选项,只在必要的情况下才启用它,并尽量使用其他更细粒度的权限控制手段。选项为容器提供了强大的功能,但它也带来了一些严重的安全隐患。由于privileged容器具有几乎与主机相同的权限,所以如果容器被恶意代码控制,那么攻击者就可以轻易地突破容器的边界,对主机进行任意操作。Docker默认情况下会赋予容器一些必要的capabilities,但不包括全部的能力,从而降低了被攻击的风险。
Docker容器开启特权模式
最新发布
xjfyt0129的博客
06-05 1149
解决docker容器特权模式的问题
docker获取容器root权限
dashao6757的博客
08-09 1408
第一步:查看容器的CONTAINER ID docker ps ps:需要运行中的容器 第二步:获取root权限,例如需要进入的CONTAINER ID为2209371edd48 docker exec -ti -u root 2209371edd48 bash 转载于:https://www.cnblogs.co...
容器权限问题
xiaoqie159的博客
01-02 325
容器内部操作挂载的在宿主机上的文件,被报没有权限。 当容器内部程序操作挂载宿主机上的文件时,操作身份是什么?
docker容器权限设置--cap-add | --cap-drop | privileged
更多内容查看博客描述。
04-22 1720
1.privileged,权限全开,不利于宿主机安全2.cap-add/cap-drop,细粒度权限设置,需要什么开什么。
19 | 容器安全(1):我的容器真的需要privileged权限吗?
草办的学习记录
09-07 1991
本文仅作为学习记录,非商业用途,侵删,如需转载需作者同意。 下面说下容器安全的模块。 容器的安全很大程度由容器的架构特性决定的:比如容器与宿主机共享Linux 内核,通过Namespace来做资源的隔离,通过 shim/runC 的方式来启动等。 这些容器架构特性,在选择使用容器之后,作为容器的用户,其实没有多少能力去对架构层面做安全上的改动了。 你可能会说用Kata Container、gVisor 就是安全“容器”了。不过,Kata 或者 gVisor 只是兼容了容器接口标准,而内部的实现完全是另外.
Docker容器逃逸-特权模式-危险挂载-Procfs
XXokok的博客
04-18 1110
Docker容器逃逸-特权模式-危险挂载-Procfs
Docker swarm 如何开启特权容器
05-24
要在Docker Swarm中启用特权容器,需要在...在上面的命令中,`--privileged`选项用于启用特权模式,`myservice`是服务名称,`myimage`是特权容器所使用的镜像。你还可以使用`--mount`选项将主机上的目录挂载到容器中。
Docker swarm docker compose 开启特权容器
05-24
privileged: true # 开启特权容器 ``` 此外,启动特权容器也需要在 Docker 守护程序中启用 `--privileged` 标志。例如,在 Docker Swarm 模式下,可以使用以下命令启动 Swarm 服务: ``` docker service create -...
docker容器中crontab无法正常运行解决方案
09-30
具体来说,Cron守护进程试图打开PAM安全会话,但是失败了,并且在尝试创建或移除指定会话时出现了问题。 首先,我们来看一下PAM的作用和为什么它与Crontab的问题相关。PAM提供了一套用于用户认证、账户管理、会话...
复现利用特权模式docker逃逸
qq_54713392的博客
05-17 1617
复现利用特权模式docker逃逸 漏洞说明: 获取某个系统shell后发现其是docker,这时候我们就需要进行docker逃逸来拿到其真正宿主的权限,利用特权模式逃逸 靶机:ubantu16.0 IP地址 192.168.32.142 Docker version 小于 18.09.2版本 当管理员执行docker run -privileged时,Docker容器将被允许访问主机上的所有设备,并可以执行mount命令进行挂载。 (1)下载centos镜像 执行命令:docker pull cento
如何查看docker中有哪些容器
舒一笑的博客
02-29 2372
这些命令都是在命令行(终端或命令提示符)中执行的。确保您已经安装了Docker并且Docker守护进程正在运行。如果您遇到权限问题,可能需要在命令前加上。这个命令会列出所有当前运行的容器,包括容器ID、创建时间、使用的镜像、命令、正在运行的状态、端口信息等。选项,您可以自定义显示的信息,比如上面的命令只显示容器ID和容器名称。选项,可以看到所有容器,无论它们当前是否在运行。这个命令提供的信息与。)选项可以显示最近创建的容器。相似,但它包括了所有容器
Docker SYS_ADMIN 权限容器逃逸
m0_63306943的博客
03-02 1185
如果notify_on_release启用(即值为1时),当cgroup不再包含任何任务时(即,cgroup的tasks文件里的PID为空时),系统内核会默认执行release_agent参数指定的文件里的内容。若启动docker容器时给主机一个--cap-add=SYS_ADMIN的权限,攻击者可以在容器内通过挂载宿主机cgroup,并利用cgroup notify_on_release的特性在宿主机执行shell,从而实现容器逃逸。cgroup:限制资源分配的技术,限制docker的特定资源。
docker特权容器逃逸,反弹,切换挂载返回null
xiaobai_20190815的博客
05-05 452
docker特权容器逃逸,反弹,切换挂载返回null 计划命令不执行
Kubernetes SecurityContext 安全上下文 特权模式运行pod
小楼一夜听春雨,深巷明朝卖杏花
08-06 6623
使用特权模式运行 pod 有时pod 需要做它们的宿主节点上能够做的任何事,例如操作被保护的系统设备,或使用其他在通常容器中不能使用的内核功能 ,这种 pod 个样例就是 kube-proxy pod ,该 pod需要修改宿主机的 iptables规则来让 kubernetes 中的服务规生效。 使用 kubeadm 部署集群时,你会看到每个节点上都运行了 kube-proxy pod,并且可 以查 YAML描述文件中所有使用到的特殊特性。 [root@k8s-master ~]# ..
docker --privileged=true 参数作用
小小关的博客
09-26 1116
privileged启动的容器,可以看到很多host上的设备,并且可以执行mount。使用该参数,container内的root拥有真正的root权限。否则,container内的root只是外部的一个普通用户权限。大约在0.6版,privileged被引入docker。甚至允许你在docker容器中启动docker容器
selinux dac
xiaowang_lj的博客
10-09 473
通过ps命令,我们可以看到3685进程AAAA_Callback是kthreaddd产生的kernel线程,是root user,结合2)中权限管控,root属于others,因而出现dac_override问题,无法访问。文件对应的访问者是init.rc启动的一个服务,从1可以看出文件的drmrpc group有读写权限,因此我们可以通过给对应服务加权限组,即可使之正常访问文件,即如下group的配置中,添加drmpc权限组即可。因此,修正如上问题的解法就是让进程以正确的身份通过正确的权限访问文件。
docker--privileged
zhou920786312的博客
08-15 1万+
一、 privileged=true|false 介绍 true container内的root拥有真正的root权限。 false container内的root只是外部的一个普通用户权限。 默认false privileged启动的容器 可以看到很多host上的设备 可以执行mount。 可以在docker容器中启动docker容器。 二、测试验证 2.1、未设置privileged启动的容器 docker run -it centos:7.7.1908 bash 不可以执行
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值