dockers --cap-add 哪些值可以设置

最新推荐文章于 2024-04-30 07:03:57 发布
最新推荐文章于 2024-04-30 07:03:57 发布
阅读量1.8k 收藏
点赞数
分类专栏: docker 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuyunshengsir/article/details/133682138
版权
本文介绍了Docker容器中的--cap-add参数,详细解释了诸如SYS_ADMIN、SYS_PTRACE等常见权限值,强调了在分配权限时需谨慎考虑安全性和必要性,以限制容器内进程的操作范围。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

--cap-add 参数可以用于向 Docker 容器添加不同的权限。除了 NET_ADMIN,还有一些其他常用的权限值,包括:

  1. SYS_ADMIN:添加系统管理员权限,允许容器内的进程执行系统级别的管理操作,如挂载文件系统、设置时间、修改主机名等。

  2. SYS_PTRACE:添加系统追踪权限,允许容器内的进程使用 ptrace 系统调用,用于调试和监视其他进程。

  3. SYS_CHROOT:添加切换根目录权限,允许容器内的进程使用 chroot 系统调用,在指定的目录下创建一个新的根文件系统环境。

  4. SYS_MODULE:添加模块加载/卸载权限,允许容器内的进程加载和卸载内核模块。

  5. SYS_RAWIO:添加原始 I/O 权限,允许容器内的进程进行对设备的原始读写操作,绕过操作系统提供的文件系统抽象。

  6. SYS_TIME:添加时间管理权限,允许容器内的进程修改系统时间。

这只是一些常见的权限值,实际上还有其他更多的权限可以使用。在使用 --cap-add 参数时,需要谨慎评估每个权限的安全性和必要性,确保容器内的进程只能执行合适和可信的操作。

windows 下 基于 WSL2安装DeepSpares进行YOLOV8 v5 的加速推理
shiter编写程序的艺术
06-12 467
硬件要求:CPU 支持 avx2 指令集软件:操作系统只支持Linux可以通过查看CPU的规格或者使用特定的命令来检测CPU是否支持AVX2指令集。查看CPU规格:直接查看CPU的规格说明,通常在购买CPU时,其包装或者产品描述中会明确指出支持的指令集。访问CPU制造商的官方网站,通过搜索型号可以获取详细的CPU规格信息。使用系统命令:在Linux系统中,可以使用命令cat /proc/cpuinfo来查看CPU信息。
部署sematext监控docker容器
weixin_34066347的博客
01-21 1820
1.创建账号 https://sematext.com/ 2.创建监控的项目名称 跟着引导进行操作,创建第一个属于你的第一个监控容器的项目 3.在docker环境运行 3.1 docker run方式 sudo docker run -d --name sematext-agent --restart=always -e SPM_TOKEN=f31a28dc-d452-4da7-b704-51ac...
运维实操——docker容器(七)安全
qq_40764171的博客
07-23 2614
安全1、Docker容器的安全2、容器资源控制(1)memory(2)cpu(3)io3、安全加固(1)利用LXCFS增强docker容器隔离性和资源可见性(2)设置特权级运行的容器(3)设置容器白名单:–cap-add(4)其他安全加固的思路 1、Docker容器的安全 Docker容器的安全性,主要依赖于Linux系统自身,考虑Docker的安全性时,主要有: (1)Linux内核的命名空间机制提供的容器隔离安全 启动一个容器时,Docker将在后台为容器创建一个独立的命名空间,就是隔离,但是ns(na
Docker快速入门——Docker-Compose
hopelgl的博客
06-17 888
一、Docker-Compose简介 1、Docker-Compose简介 Docker-Compose项目是Docker官方的开源项目,负责实现对Docker容器集群的快速编排。 Docker-Compose将所管理的容器分为三层,分别是工程(project),服务(service)以及容器(container)。Docker-Compose运行目录下的所有文件(docker-compose...
docker容器权限设置--cap-add | --cap-drop | privileged
更多内容查看博客描述。
04-22 3441
1.privileged,权限全开,不利于宿主机安全2.cap-add/cap-drop,细粒度权限设置,需要什么开什么。
使用docker run --cap-add参数解决权限问题(无法使用gdb调试、无法date -s修改时间)
热门推荐
liuqiuyuewo的博客
07-11 2万+
问题 在docker容器中的centos无法使用gdb调试 ptrace: Operation not permitted 解决方法 参考:https://stackoverflow.com/questions/42029834/gdb-in-docker-container-returns-ptrace-operation-not-permitted 在docker run 命令中...
Docker特权模式:--privileged、--cap-add--cap-drop
斯文~
11-10 3766
Docker特权模式:--privileged、--cap-add--cap-drop
linux特权模式,linuxea:docker特权模式与--cap-add--cap-drop
weixin_29189003的博客
05-13 1533
你可能希望在容器中执行的一些高级操作(例如Docker-in-Docker(DinD),NTP,安装环回设备等),默认情况下将需要比给予容器的root用户更高的权限。因此,需要允许其他特权才能使容器无问题地运行,因此对于该用例,Docker具有非常简单但非常宽泛的特权模式,可将完整主机的功能添加到容器中。要使用此模式,只是追加--privileged到docker run命令:Docker-in-...
Docker开篇第二篇】Docker 掌握核心技术_docker --ipc host
2401_84166236的博客
04-30 757
docker run命令可以与docker commit命令结合使用,以改变容器运行的命令。docker run命令首先在指定映像上creates可写的容器层,然后使用指定的命令starts它。也就是说,docker run等价于API然后。使用docker start,可以重新启动已停止的容器,并保存之前的更改。
docker-comose入门到实战
qq_29632499的博客
11-01 1663
Docker Compose 入门教程 一.什么是 Docker Compose Docker-Compose 项目是 Docker 官方的开源项目,负责实现对 Docker 容器集 群的快速编排。 Docker-Compose 将所管理的容器分为三层,分别是工程(project),服务 (service)以及容器(container)。Docker-Compose 运行目录下的...
Docker 部署Java程序以及常用命令详解
Mr_changxin的博客
04-19 2059
在执行 docker pull 命令时,Docker 客户端会首先检查本地是否有该镜像,如果没有,它会从配置的镜像仓库(默认为 Docker Hub)下载镜像到本地。简单来说,Docker port命令可以帮助我们查看容器内部的端口是如何映射到宿主机的端口的,从而使得我们可以从外部访问容器中运行的应用程序。但请注意,这并不会导出容器的配置(如环境变量、卷挂载等),因此新创建的容器可能需要额外的配置才能与原始容器具有相同的行为。docker ps 是 Docker 的一个命令,用于列出当前正在运行的容器。
Docker Compose
顺其自然~专栏
02-13 631
compose前身是Fig,是一个用于定义及允许多个Docker容器的工具,主要是通过一个YAML文件进行服务配置使用Docker Compose不再需要使用Shell脚本来启动容器Docker Compose非常适合组合使用多个容器进行开发的场景使用Compose 基本上分为三步:定义应用的运行环境定义组成应用的各服务启动整个应用参考:https://blog.csdn.net/ver_mouth__/article/details/125878706Compose 是用于。
Docker逃逸---SYS_PTRACE浅析
10-16 2238
Docker逃逸---SYS_PTRACE浅析
Docker capability】docker capability 属性功能介绍(docker运行时权限、Linux系统功能)
叮当猫的喵i
01-05 1946
出于容器之间和容器与宿主机的安全隔离保护,在默认的Docker配置下,Docker容器是没有系统权限的。这是因为在默认情况下,容器内的进程不允许访问任何宿主机上的设备。默认的seccomp配置文件将根据所选的功能进行调整,以允许使用功能所允许的功能,所以从Docker1.12之后的版本,不应该对此进行调整。时,将允许Docker容器访问宿主机上的所有设备,并在AppArmor或SELinux中设置一些配置,使容器内的进程可以与容器外运行的进程几乎一样权限来访问宿主机。如果想限制对特定设备的访问,可以使用。
docker-compose使用教程
任我行的博客
07-09 728
1、安装 $ sudo curl -L "https://github.com/docker/compose/releases/download/1.24.1/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose $ sudo chmod +x /usr/local/bin/docker-compose 创建软链: $ sudo ln -s /usr/local/bin/docker-compose /usr/bi
Docker-Compose
weixin_46202648的博客
11-30 1539
Docker-Compose1.Docker-Compose1.1.初识DockerCompose1.2.安装DockerCompose1.3.部署微服务集群1.3.1.compose文件1.3.2.修改微服务配置1.3.3.打包1.3.4.拷贝jar包到部署目录1.3.5.部署2.Docker镜像仓库2.1.搭建私有镜像仓库2.2.推送、拉取镜像 1.Docker-Compose Docker Compose可以基于Compose文件帮我们快速的部署分布式应用,而无需手动一个个创建和运行容器! 1.1.
HDFS DataNode服务容器化与cap-add命令
qq_35542970的博客
12-03 897
1、最近在做HDFS容器化过程中,发现在安全模式下,datanode服务在容器内起不来。找了一圈,发现容器在启动时,默认给的权限不够,导致datanode服务无法启动。 报错如下: ERROR: Cannot set priority of datanode process 191 于是,按照网上解决方案一顿操作,没用。 最后,在启动容器时,加上--cap-add=all解决问题。 2、cap-add命令的用处是啥 docker使用--privileged --cap-add --cap-dr
Docker学习(三):Docker如何修改容器的系统时间
技术宅拯救世界
05-08 2万+
以普通方式运行docker容器 docker run -it --rm --name centos centos /bin/bash 参数说明: -it: 表示启用一个伪终端,并以交互方式运行 --rm: 表示退出之后立马删除该容器 --name: 表示给容器起一个名字 centos: 表示镜像名称 /bin/bash: 表示运行于bash程序 此时进入容器之后执行修改容器时间的指...
dockers -gpus
最新发布
02-26
### 如何在 Docker 中配置和使用 GPU 支持 #### 配置 Docker 使用 GPU 为了使 Docker 能够识别并利用主机上的 NVIDIA GPU,在现代 Docker 版本中不再需要单独安装 `nvidia-docker` 或者其他专用工具链。取而代之的是,官方推荐的方式是通过安装 `nvidia-container-toolkit` 来实现这一功能[^4]。 #### 安装 Nvidia Container Toolkit 确保已经正确设置Docker 环境之后,可以通过以下命令来安装适用于 Linux 发行版的 `nvidia-container-toolkit`: ```bash distribution=$(. /etc/os-release;echo $ID$VERSION_ID) curl -s -L https://nvidia.github.io/nvidia-docker/gpgkey | sudo apt-key add - curl -s -L https://nvidia.github.io/nvidia-docker/$distribution/nvidia-docker.list | sudo tee /etc/apt/sources.list.d/nvidia-docker.list sudo apt-get update && sudo apt-get install -y nvidia-container-toolkit sudo systemctl restart docker ``` 上述脚本会根据操作系统的不同版本自动调整源地址,并完成必要的软件包更新与重启服务的操作[^2]。 #### 测试 GPU 功能 一旦完成了 toolkit 的部署,就可以创建一个新的带有 GPU 支持的容器来进行测试。下面是一个简单的例子,它启动了一个包含 CUDA 运行时环境的基础镜像,并执行了 `nvidia-smi` 命令以验证 GPU 是否正常工作: ```bash docker run --gpus all nvidia/cuda:11.0-base nvidia-smi ``` 这条指令中的 `--gpus all` 参数告诉 Docker 将所有的可用 GPU 设备传递给新创建的容器实例;当然也可以指定具体的 GPU ID 号码以便更精细地控制资源分配[^3]。 #### 实际应用案例 对于那些希望在其应用程序内充分利用 GPU 加速特性的开发者来说,只需要按照常规流程构建自己的 Dockerfile 文件即可。只需记得在最终运行容器的时候加上相应的 GPU 相关参数就可以了。例如: ```Dockerfile FROM tensorflow/tensorflow:latest-gpu-py3 WORKDIR /app COPY . . CMD ["python", "train.py"] ``` 在这个 TensorFlow 的示例项目里,基础镜像选择了预装有 GPU 支持库的官方映像,从而简化了开发过程中的依赖管理问题[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

liuyunshengsir

微信:lys20191020

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值