Docker中获取root【所有 | 有限授权】权限

最新推荐文章于 2024-06-05 08:50:27 发布
最新推荐文章于 2024-06-05 08:50:27 发布
阅读量5.1k 收藏 3
点赞数
分类专栏: Docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuwei0376/article/details/100310462
版权

Docker中获取root【所有 | 指定】权限


Docker中获取root【所有 | 指定】权限)

问题抛出

Docker容器中执行 date -s 2019-09-02 01:01:01 命令时,报出如下错误:
date: cannot set date: Operation not permitted

解决思路

经查询了解到,docker容器的资源隔离使用了Linux宿主机的Capability机制,而Capability机制允许我们显示的将root的权限划分为不同的小的单元。默认情况下,docker容器中只支持如下Capability:

CHOWN, 
DAC_OVERRIDE, 
FSETID, 
FOWNER, 
MKNOD, 
NET_RAW, 
SETGID,  
SETUID, 
SETFCAP, 
SETPCAP, 
NET_BIND_SERVICE, 
SYS_CHROOT, 
KILL, 
AUDIT_WRITE

修改系统时钟需要用到 SYS_TIME 权限。

解决方案

①、一刀切,直接通过--privileged赋予全部最高权限

A) docker 命令行启动方式下,配置–privileged,范例:

[root@localhost ~]# docker run -it --privileged --name mycentos centos:latest /bin/bash

B) docker-compose.yml下,在service_name->app_name下配置:

privileged: true

②、仅通过--cap-add赋予时钟修改权限

A) docker 命令行启动方式下,范例:

[root@localhost ~]# docker run -it --cap-add SYS_TIME --rm --name mycentos centos:lastest /bin/bash

B) docker-compose.yml下,在service->app_name下配置:

#添加SYS_TIME能力
cap_add:
  - SYS_TIME

# 添加全部能力
cap_add:
  - ALL

# 删除NET_ADMIN,SYS_ADMIN能力
cap_drop:
  - NET_ADMIN
  - SYS_ADMIN

参考列表,致谢

1: https://www.jianshu.com/p/3cfd7e4d8c76
2: https://docs.docker.com/compose/compose-file/

江畔独步
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[docker-compose] docker生成文件是root权限,修改docker容器的用户
petrel2015的博客
04-26 9548
问题 springboot/docker生成的日志文件、上传的文件所有者是root,查看日志的话需要root才能看 上传的文件、生成的文件所有这也是root,其他用户在使用时会不方便 解决方法 docker-compose.yml文件加入user,和image同级 内容是希望使用的用户的id 可以通过命令 cat /etc/passwd |grep <user> 来查询 参考链接 https://docs.docker.com/compose/compose-file/compose-f
【Linux】date:cannot set date:operation not permitted
热门推荐
冯浩月
10-25 3万+
前言     小编最近安装了Linux的虚拟机Centos,并在网上找到了学习Linux的网站《Linux就该这么学》,正在跟着里面的教程学习这块的知识,遇到了问题,下面是具体的解决过程。 date命令执行失败     date命令学习时,执行设置系统时间时,出现了这个提示,意思是不允许这个操作。   原因:权限不够     小编对这个命令执行失败的原因,在网上找到了答案:权限不够...
Docker容器开启特权模式
最新发布
xjfyt0129的博客
06-05 401
解决docker容器内特权模式的问题
更改docker容器的时间而不影响宿主机
J_Lee
11-20 5370
容器的时间问题: 如果想要直接进入容器,使用date -s修改日期,则会出现一个date: cannot set date: Operation not permitted的错误,而且也不会成功。 这是由于docker容器的隔离是基于Linux的Capability机制实现的, Linux的Capability机制允许你将超级用户相关的高级权限划分成为不同的小单元。目前Docker容器默认只用到了以下的Capability 而要修改系统时间需要有SYS_TIME权限。使用 --cap-add, --cap
docker容器修改时间报错 date: cannot set date: Operation not permitted
范一刀的博客
03-26 7500
docker容器修改时间 date -s 报错 date: cannot set date: Operation not permitted 原因是在容器内没有权限进行操作,启动容器时授权即可。 docker-compose修改方法: 添加 privileged: true 容器修改方法: docker run -itd --privileged=true -p 3306:3306 mysql:5.7.36 接下来就可以使用date -s修改时间了 ...
docker容器时间问题探究到Namespace问题
因上努力,果上随缘。但行好事,莫问前程。
05-09 998
1,容器的时间问题 在测试环境已经全面使用 k8s 部署了,今天突然有一个测试同学,因为特殊场景,希望更改一下服务对应的容器时间,当时我心想,这不是挺简单的。 于是就来到容器当,执行如下命令进行更改: [root@a-admin-f478dbd55-ddv7x /]# date Tue Jun 18 14:01:34 CST 2019 [root@a-admin-f478dbd55-ddv7x /]# date -s 05/28 date: cannot set date: Operation n
Docker 常用 指令 | 命令 | 语法 | 说明
01-09
传送门Docker常用指令Dcoker信息镜像操作镜像查看镜像搜索镜像下载镜像删除镜像构建容器操作容器启动容器进程容器日志容器的进入与退出查看容器容器的停止与删除生成镜像容器与主机间的数据拷贝 原创文章 23获赞 ...
docker容器使用非root用户执行脚本操作
01-20
应用容器化之后,在docker容器启动时,默认使用的是root用户执行命令,因此容器的应用默认都是使用root用户来运行的,存在很高的安全风险,那么如何能够使用非root的业务用户来运行应用呢, 下面我将举一个简单的...
docker容器切换用户,提示权限不足的解决
01-20
docker容器切换用户,提示权限不足: 解决办法: 启动容器是使用特权启动: docker run -i -t –privileged -v /home/dora:/home/dora centos_ora /bin/bash 补充知识:linux下docker使用普通权限运行 linux下...
admin:DockerDocker-Compose | 烤炉| Nginx代理管理器| 座舱| Fail2Ban | Noip-Clickon刷新脚本
04-07
Nginx代理管理器| 座舱| 烤炉| DockerDocker-Compose | Fail2ban | Noip-clickonrefresh'-脚本 预配置: 编辑docker-compose文件以更改密码, 更改Docker容器上的端口 并在运行脚本之前配置网络 跑步 cd /opt ...
Docker创建容器时目录权限踩坑
09-29
主要介绍了Docker创建容器时目录权限踩坑,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
docker容器修改时间报 date: cannot set date: Operation not permitted的解决方案
aaxh01的博客
04-28 7427
docker容器修改时间报 date: cannot set date: Operation not permitted是因为没有权限,解决方案是需要在创建容器时就赋予修改权限。 通过dokerfile创建容器,docker-compose.yml参考配置如下,主要生效配置是: privileged: true services: virtual1: #image: test_centos7.6.1810 image: auto_kfbspt_image:v1.0 contain
使用faketime修改docker内的时间,解决date: cannot set date: Operation not permitted问题
小小郭
08-25 1万+
docker本质是个进程,有很多资源是使用宿主机的,比如系统时间。正常使用时是会觉得很方便,但涉及到对系统资源的修改时,就比较麻烦了。 场景 使用docker部署了一个后端服务,测试需要改系统时间,如果直接改宿主机时间则会影响到其他的docker(不管是在宿主机上改还是通过–cap-add SYS_TIME参数在docker修改)。有没有什么既能满足测试要求又不影响其他docker的方法呢?答案...
Linux (Ubuntu)报错记录
qq_39521394的博客
03-16 681
报错:date: cannot set date: Operation not permitted 解决:权限不够,在命令前加上sudo即可
k8s集群修改pod容器的时间
qq_42502583的博客
04-01 6305
k8s集群 修改pod容器的时间 问题 当需要测试某些功能时,需要修改系统时间,当进入pod的容器之后,执行date命令报错!!! root@world-106-5bb9785bd8-7rlmd:/app# date -s 23:50:00 date: cannot set date: Operation not permitted Thu 01 Apr 2021 11:50:00 PM CST 原因 k8s集群底层的容器技术是基于docker(大部分)来实现的,而docker的安全隔离是基于Linux
Xshell修改服务器时间报错 Operation not permitted
asstsui的博客
04-12 1528
Date –s 遇到 Operationnot permitted 原因 权限不够 我使用的私人账号 应使用root账号 用root账户修改时间 修改成功后,切换回私人账号重启服务 ————————————涉及命令———————————————————— su - root date -s “yyyy-mm-dd hh:mm:ss” su - user ps -ef | grep date ki...
date -s 08:11:22修改时间无效后的操作
weixin_44402611的博客
08-11 394
找到相应的时区文件 /usr/share/zoneinfo/Asia/Shanghai用这个文件替换当前的文件 /etc/localtime #cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
Docker:容器修改时间问题
Allan_shore_ma的博客
12-15 751
Docker:容器修改时间问题 一、问题:docker exec -it ID date -s "2012-08-12 10:30:22"异常,date: cannot set date: Operation not permitted。 二、原因:docker-compose 默认以root用户启容器 由于docker容器的隔离是基于Linux的Capability机制实现的, Linux的Capability机制允许你将超级用户相关的高级权限划分成为不同的小单元. 目前Docker容器默认只用到了以下的
docker 运行用户给与root权限
06-10
Docker ,默认情况下容器是以 `root` 用户身份运行的。如果需要在容器以其他用户身份运行,可以使用 `--user` 参数指定用户和用户组。 如果需要在容器以 `root` 用户身份运行,并且给与 `root` 用户完全的权限,可以在运行 `docker run` 命令时使用 `--privileged` 参数,例如: ``` docker run --privileged -it ubuntu bash ``` 这个命令会在一个 Ubuntu 容器以 `root` 用户身份运行 Bash,并且给与 `root` 用户完全的权限。需要注意的是,使用 `--privileged` 参数会让容器拥有主机上所有的权限,因此需要谨慎使用。 另外,建议在容器以非 `root` 用户身份运行应用程序,以增强安全性。可以在 Dockerfile 使用 `USER` 命令指定容器应用程序运行的用户和用户组,例如: ``` FROM ubuntu:latest RUN groupadd -r myapp && useradd -r -g myapp myapp USER myapp CMD ["/bin/bash"] ``` 这个 Dockerfile 会创建一个名为 `myapp` 的用户和用户组,并在容器以 `myapp` 用户身份运行 Bash。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值