Docker的privileged的作用

最新推荐文章于 2025-03-13 16:01:18 发布
最新推荐文章于 2025-03-13 16:01:18 发布
阅读量1.8w 收藏 13
点赞数 1
分类专栏: Docker 文章标签: docker centos 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ichen820/article/details/120508201
版权
本文介绍了Docker容器如何通过privileged参数获取宿主机的root权限。未设置privileged时,容器内的root权限受限,无法执行如mount等操作。而启用privileged参数后,容器内的root可以访问更多设备并执行挂载操作,实现与宿主机相似的权限。这展示了privileged参数在特定场景下的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Docker 应用容器 获取宿主机root权限(特殊权限)

docker run -d --name="centos7" --privileged=true centos:7

privileged参数

大约在0.6版,privileged被引入docker。
使用该参数,container内的root拥有真正的root权限。
否则,container内的root只是外部的一个普通用户权限。
privileged启动的容器,可以看到很多host上的设备,并且可以执行mount。
甚至允许你在docker容器中启动docker容器。

未设置privileged启动的容器:

[root@localhost ~]# docker run -t -i centos:latest bash
[root@ed8fee643129 /]# lsblk 
lsblk: dm-0: failed to get device path
lsblk: dm-1: failed to get device path
lsblk: dm-0: failed to get device path
lsblk: dm-1: failed to get device path
NAME   MAJ:MIN RM  SIZE RO TYPE MOUNTPOINT
vda    252:0    0   80G  0 disk 
|-vda1 252:1    0    1G  0 part 
`-vda2 252:2    0   79G  0 part 
vdb    252:16   0  200G  0 disk 
|-vdb1 252:17   0   50G  0 part 
|-vdb2 252:18   0   50G  0 part 
`-vdb3 252:19   0  100G  0 part 
[root@ed8fee643129 /]# mount  /dev/vdb3  /mnt/
mount: permission denied

设置privileged启动的容器:

[root@docker ~]# docker run -t -i  --privileged  centos:latest bash
[root@f83ce3877aa1 /]# 
[root@f83ce3877aa1 /]# 
[root@f83ce3877aa1 /]# mount  /dev/vdb3  /mnt/
[root@f83ce3877aa1 /]# df -h
Filesystem               Size  Used Avail Use% Mounted on
overlay                   77G   25G   52G  33% /
tmpfs                     64M     0   64M   0% /dev
tmpfs                    3.9G     0  3.9G   0% /sys/fs/cgroup
/dev/mapper/centos-root   77G   25G   52G  33% /etc/hosts
shm                       64M     0   64M   0% /dev/shm
/dev/vdb3                100G   33M  100G   1% /mnt
[root@f83ce3877aa1 /]#
Dockerprivileged: true:允许容器获得比默认更高的权限
hiliang521的博客
01-21 1245
Dockerprivileged: true:允许容器获得比默认更高的权限
关于Docker中出现Failed to get D-Bus connection且--privileged也不管用的问题
Epsilom的博客
02-21 2581
简单讲就是不要用centos:7而要用centos:centos7.9.2009 一些小众的科研软件非常古老,兼容性极低,在较常用的ubuntu、manjaro、centos8下很难装,只能生活在docker中。但他们经常在服务器中开发更新的版本,有的时候服务器系统升级了,新版本的软件就不兼容原来旧的docker。就很烦。 最近想把官方的docker从sl6改到centos7,从而适应更新一点的软件。遇到了这样的问题: Failed to get D-Bus connection: Operation n
(十二)docker --privileged
ddlcdlzn20146的博客
07-03 1260
1. privileged参数作用 --privileged Give extended privileges to this container 大约在0.6版,privileged被引入docker。 使用该参数,container内的root拥有真正的root权限。 否则,container内的root只是外部的一个普通用...
一文说清 Docker 是什么(超详细),零基础入门到精通,收藏这一篇就够了!
2301_77472496的博客
03-13 2509
Docker 是一种开源的容器化平台,旨在简化应用程序的开发、部署和运行过程。它提供了一种轻量级、可移植和自包含的容器化环境,使开发人员能够在不同的计算机上以一致的方式构建、打包和分发应用程序。
docker--privileged
zhou920786312的博客
08-15 1万+
一、 privileged=true|false 介绍 true container内的root拥有真正的root权限。 false container内的root只是外部的一个普通用户权限。 默认false privileged启动的容器 可以看到很多host上的设备 可以执行mount。 可以在docker容器中启动docker容器。 二、测试验证 2.1、未设置privileged启动的容器 docker run -it centos:7.7.1908 bash 不可以执行
docker privileged用法
完颜振江
02-06 7026
标志来运行容器时,容器内的进程将具有对主机系统的完全访问权限,包括访问设备、挂载文件系统等。这在一些特定的使用情况下可能是必要的,但同时也带来了一些安全风险。标志在某些情况下很有用,但也存在潜在的安全风险。因为容器内的进程可以直接影响到主机系统,如果恶意进程获得了容器的控制权,可能会对主机系统造成严重的损害。标志,并且在可能的情况下采取其他更安全的替代方案。是Docker容器的一个选项,用于授予容器内的进程对主机系统的更高权限。标志来授予容器对这些设备的访问权限,而不必使用。因此,建议仅在确实需要时使用。
Docker 从入门到掉坑
HollisChuang's Blog
12-14 599
Docker 介绍简单的对docker进行介绍,可以把它理解为一个应用程序执行的容器。但是docker本身和虚拟机还是有较为明显的出入的。我大致归纳了一下,可以总结为以下几点:docke...
白话Docker作用
zhouqi1208的博客
07-29 857
现在的抖音,可以发视频、可以开直播、可以买东西、可以交友,可以做教学,可以做远程测试。最好的方式,就是把每个独立软件打包到一个容器中,集中安装到几台主机上。在每个容器里,相当于每个独立软件来说,就是一个独立的主机。或者用相同功能的容器替换下,故障容器,是系统故障快速修复。首先,大部分容器中执行的程序只是为主程序提供功能,直接对外网开放会增大安全风险。容器在建立的时候,都会被分配独立的IP。IP编号是跟随容器的生成的顺序。DOCKER的专业解释是“容器”,对于非计算机科班出身的人来说,对这个概念非常模糊。
docker 记录-容器卷
qq_31515997的博客
07-12 272
docker 容器卷操作说明
docker privileged作用_docker总结
weixin_39547596的博客
11-30 7311
docker基本命令是一个开源的应用容器引擎;是一个轻量级容器技术;docker主机(Host):安装了Docker程序的机器(Docker直接安装在操作系统之上);docker客户端(Client):连接docker主机进行操作;docker仓库(Registry):用来保存各种打包好的软件镜像;docker镜像(Images):软件打包好的镜像;放在docker仓库中;docker容器(Con...
Docker privileged
云满笔记
11-25 1187
Docker privileged
docker privileged作用_美创安全实验室 | Docker逃逸原理
weixin_39664998的博客
11-29 1158
Docker是时下使用范围最广的开源容器技术之一,具有高效易用等优点。由于设计的原因,Docker天生就带有强大的安全性,甚至比虚拟机都要更安全,但你可曾想过“坚不可摧”的Docker也会被人攻破,Docker逃逸所造成的影响之大几乎席卷了全球的Docker容器。本期美创安全实验室将会带大家研究造成Docker逃逸的根本原理以及相应的防御方法。Docker简介Docker是一种容器,容器的官方定义...
docker run:--privileged=true选项解析(特权模式:赋予容器几乎与主机相同的权限)
热门推荐
Dontla的博客
09-18 3万+
在默认情况下,Docker对容器的权限进行了严格的限制,只提供了有限的capabilities。因此,我们需要谨慎地使用这个选项,只在必要的情况下才启用它,并尽量使用其他更细粒度的权限控制手段。选项为容器提供了强大的功能,但它也带来了一些严重的安全隐患。由于privileged容器具有几乎与主机相同的权限,所以如果容器被恶意代码控制,那么攻击者就可以轻易地突破容器的边界,对主机进行任意操作。Docker默认情况下会赋予容器一些必要的capabilities,但不包括全部的能力,从而降低了被攻击的风险。
docker中--privileged的使用
weixin_42715225的博客
04-19 1万+
#### 前言 --privileged可以满足我们的定制化需求 #### 作用 - 使container内的root拥有真正的root权限,否则只是外部的一个普通用户权限 - 可以看到很多host上的设备,并且可以执行mount - 允许你在docker容器中启动docker容器 #### 示例 > docker run -it --privileged=true...
docker privileged作用_Docker学习笔记:(1)Docker基础知识
weixin_39828847的博客
11-20 923
Docker简介Docker是容器虚拟化技术的实现。将运作应用所需要的系统环境,由下而上打包成镜像,以达到应用跨平台间的无缝接轨运作。Docker和传统虚拟化方式的不同之处1)传统虚拟机技术是虚拟出一套硬件,并在其上运行一个操作系统,在该系统上再运行所需应用进程。而容器没有进行硬件虚拟,容器内没有自己的内核,容器内的应用进程直接运行于宿主的内核。因此容器要比传统虚拟机更为轻便。2)每个容器之间互相...
Docker容器开启特权模式
xjfyt0129的博客
06-05 2696
解决docker容器内特权模式的问题
Docker操作实践(3):Docker的操作详解
weixin_42556618的博客
09-27 497
文章将从组织的学习利用一张图片分享几个概念和命令来了解Dorcker的命令... 今天是Docker讨论系列的终章,我们先从docker的命令开始介绍,再说明Docker run命令关键参数。 如果你还没看过前面的内容: 第一篇《容器的本质是什么?容器从何而来?》 第二篇《Docker的安装及架构介绍》 一张图了解docker命令 上图摘自:http://bingoh...
扩展表空间3种方式
congzhirou8448的博客
01-27 285
扩大表空间 alter database datafile 'D:\ORACLE\ORADATA\LYGL\SDE.DBF' resize 20480m; 增加新的数据文件 ...
docker-compose privileged:
最新发布
04-03
### Docker Compose 中 `privileged` 参数的使用说明 在 Docker Compose 文件中,`privileged` 是一个布尔类型的参数,用于授予容器更高的权限。当设置为 `true` 时,它允许容器访问主机的操作系统功能,这些功能通常被限制或隔离。这在运行某些特定的应用程序或调试工具时非常有用。 以下是关于 `privileged` 参数的具体配置和示例: #### 配置方式 在 Docker Compose 文件中,可以通过服务定义中的 `privileged` 字段启用此选项。其基本结构如下: ```yaml services: service_name: image: image_name privileged: true ``` 这里的 `privileged: true` 将使容器以特权模式运行[^1]。 #### 示例 以下是一个完整的 Docker Compose 文件示例,展示了如何使用 `privileged` 参数: ```yaml version: '3' services: my_service: image: ubuntu:latest privileged: true command: ["bash", "-c", "echo Hello Privileged Mode"] ``` 在这个例子中,`my_service` 容器将以特权模式启动,并执行简单的命令打印消息到控制台[^4]。 #### 注意事项 虽然 `privileged` 提供了更多的灵活性,但它也带来了潜在的安全风险。因为容器能够绕过许多安全机制并直接操作宿主机资源。因此,在生产环境中应谨慎使用这一选项[^5]。 #### Linux 上安装 Docker Compose 的方法补充 如果尚未安装 Docker Compose,可以根据以下步骤完成安装过程(适用于 Linux 系统)。通过 GitHub 发布页面获取最新版本二进制文件并赋予可执行权限即可完成部署工作[^2]: ```bash sudo curl -L "https://github.com/docker/compose/releases/download/$(curl -s https://api.github.com/repos/docker/compose/releases/latest | grep tag_name | cut -d '"' -f 4)/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose sudo chmod +x /usr/local/bin/docker-compose docker-compose --version ``` 上述脚本会自动检测最新的稳定版进行下载与安装验证[^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值