容器:特权容器 VS 非特权容器

最新推荐文章于 2024-04-16 12:07:00 发布
最新推荐文章于 2024-04-16 12:07:00 发布
阅读量393 收藏 7
点赞数 5
分类专栏: 2024年程序员学习 文章标签: 服务器 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57889860/article/details/137678823
版权
本文探讨了特权容器与非特权容器在访问控制、文件系统、网络操作和资源限制等方面的差异,强调了非特权容器在安全方面的优势,并分享了一位技术专家关于Linux运维学习资源的整理,以帮助自学者提升技能。
摘要由CSDN通过智能技术生成

容器以特权方式启动意味着它几乎拥有宿主机上的所有权限,与宿主机上的普通进程几乎没有区别。这与非特权容器形成对比,后者的权限受到限制,以减少潜在的安全风险。以下是特权容器与非特权容器相比的一些主要变化:

  1. 访问控制:

    • 特权容器: 可以绕过Linux的访问控制机制,例如SELinux和AppArmor。它可以访问宿主机的所有设备,并执行一些可能会影响宿主机系统的操作。
    • 非特权容器: 受到更严格的访问控制,某些敏感操作会被限制或禁止。

  2. 文件系统:

    • 特权容器: 通常可以访问和修改宿主机的文件系统,这可能导致安全问题或数据损坏。
    • 非特权容器: 访问宿主机文件系统的能力被限制,通常只能访问分配给它的资源和数据卷。

  3. 网络操作:

    • 特权容器: 可以配置宿主机的网络栈,如更改网络接口和设置路由规则。
    • 非特权容器: 网络访问和配置通常受到限制,不能对宿主机的网络设置造成影响。

  4. 进程权限:

    • 特权容器: 可以看到和影响宿主机上的其他进程。
    • 非特权容器: 只能看到和影响容器内的进程。

  5. 资源限制:

    • 特权容器: 可能没有资源使用限制,能够消耗宿主机的大量资源。
    • 非特权容器: 通常会有CPU、内存等资源的使用限制。

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数Linux运维工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年Linux运维全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Linux运维知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip1024b (备注Linux运维获取)
img

获取)**
[外链图片转存中…(img-AA80cQHo-1712901964771)]

m0_57889860
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SPC:超级特权容器演示
06-21
SPC 超级特权容器演示 本演示文稿解释了如何运行可以操作主机操作系统的容器
特权容器以及安全隐患的规避
Demonslzh的博客
10-24 2709
Docker特权模式授予Docker容器对主机系统上所有设备的根权限。因此也会产生安全隐患。本文讲述相关的安全隐患以及规避方法。
K8s污点容忍、抢占与优先级、特权容器与Pod安全性
m0_73770890的博客
01-10 1016
Pod污点、容忍、优先级、容器安全
容器特权和接口爆破
qq_15821487的博客
03-22 743
容器特权通常指的是容器具有超级用户权限,可以执行一些需要高权限的操作,如挂载文件系统、读取敏感数据等。在容器化技术中,如Docker,默认情况下容器是以特权模式(non-privileged)运行的,这意味着容器没有root权限。容器通常会运行在用户空间中,并且不能访问宿主机的某些敏感系统资源,如其他用户的文件、内核模块等。--cap-add--cap-drop请注意,尽管特权容器可以执行更广泛的操作,但它们仍然受到Docker安全配置的限制。
容器安全 - 利用容器特权配置实现对Kubernetes攻击,以及如何使用 PSA 防范风险(视频)
多恩斯基的博客
10-19 1096
本文将演示如何利用在 Kubernetes 中容器的 privileged、hostpath、hostpid、hostipc、hostnetwork 配置实现对容器或宿主机的攻击,包括获得敏感数据、杀掉关键进程等。
容器技术-Docker容器特权模式.pptx
11-24
7. 关键点在于,特权容器的网关删除只对其自身生效,不影响其他特权容器,如`mycentos1`的网络配置保持不变。 特权模式虽然提供了更大的灵活性,但也带来了安全风险。因为特权容器几乎能访问宿主机的所有资源,...
mithlond:管理LXC特权容器的控制组
05-30
米特隆作者: Xavier Gendre 描述Mithlond的目标是帮助管理LXC特权容器的控制组。 特别是,它旨在简化所需的设置,并提供一种简单的方法来自动启动 LXC 特权容器。兼容性Mithlond 暂时只在 Debian Jessie 上进行...
docker容器中切换用户,提示权限不足的解决
01-20
启动容器是使用特权启动: docker run -i -t –privileged -v /home/dora:/home/dora centos_ora /bin/bash 补充知识:linux下docker使用普通权限运行 linux下安装docker默认会安装为名为docker的用户才能运行的...
深入理解docker容器中的uid和gid
01-10
默认情况下,容器中的进程以 root 用户权限运行,并且这个 root 用户和宿主机...uid 和 gid 由 Linux 内核负责管理,并通过内核级别的系统调用来决定是否应该为某个请求授予特权。比如当进程试图写入文件时,内核会检查
img:独立,无守护程序,无特权的Dockerfile和OCI兼容的容器映像生成器
02-01
img 独立,无守护程序,无特权的Dockerfile和OCI兼容的容器映像生成器。 img比Docker更具缓存效率,并且还可以同时执行多个构建阶段,因为它内部使用的DAG求解器。 命令/ UX与docker {build,tag,push,pull,login,logout,save}因此您要做的就是在脚本,命令行和/或生命中将docker替换为img 。 目录 -- 目标 这是一个构建在之上的美化的cli工具。 该项目的目标是能够以无特权的用户身份构建容器映像。 以特权方式运行使使用LDAP和其他登录机制的公司无需root即可使用img 。 这对于HPC环境和学术界也常重要。 当前,如果您按照中的说明进行则可以在Linux机器上立即使用。 此安装将确保您具有正确的img版本以及runc 。 上游补丁 最终目标是将这项工作也放在容器中。 容器运行时和Kubernetes已制作了补丁,以使其成为可能。 有关将补丁添加到容器运行时和Kubernetes的正在进行的工作,请参见: 合并 合并 合并 合并 自ecd55a4135e0a26de884ce436442914f
云安全(1)--初识容器逃逸之特权容器逃逸
azraelxuemo的博客
10-20 320
在10.15号的上海中华武数杯的渗透赛里做到了一个k8s的题目,这应该是我第一次在比赛里面实际做到云安全的题目(之前可能也有,记不清了)。但可能并不是很多人都了解云安全,这里我就简单在博客里面分享一点云安全的知识,从容器逃逸到k8s攻防,有兴趣的可以关注一下。
kubernetes - Pod污点、容忍策略、抢占与优先级、特权容器、pod安全
m0_59324564的博客
10-29 364
在资源对象文件中定义了一些特殊功能的容器,称为特权容器
特权容器逃逸
SHELLCODE_8BIT的博客
12-09 583
当我们容器以--privileged启动时,会以特权模式启用,本质上是我们权限扩大了,扩展了我们攻击面,那么特权模式扩展了哪些攻击面呢?
容器特权容器 VS 特权容器,2024年最新Linux运维开发还会吃香吗
最新发布
2401_83621095的博客
04-16 316
使用特权容器虽然提供了更大的灵活性和能力,但同时也大大增加了安全风险。容器逃逸攻击(即容器内的攻击者获取宿主机权限)在特权容器中更容易发生。因此,除绝对必要,否则不推荐使用特权容器,而应尽量采用特权容器并根据需要授予特定权限。在设计和部署容器时,始终需要权衡灵活性、功能需求和安全性。新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
特权容器(unprivileged containers)的进展
爱死亡机器人
10-11 594
简而言之,用户命名空间允许进程及其后代将命名空间内的用户 ID (UID) 和组 ID (GID) 映射到托管命名空间(即“根命名空间”)的真实 Linux 系统中的不同值。一些挂载在挂载和用户命名空间组合内的文件系统,例如 tmpfs 或 FUSE,实际上确实使用映射的 ID,但访问使用不同 ID 编写的现有文件系统仍然存在问题。它已经存在了近十年,最近发现的错误不在用户命名空间代码中,而是在内核的其他地方,只是被该功能暴露出来,但它仍然是攻击面的增加. 因此,人们正在寻找限制其使用的方法。
Docker特权容器与capability
SHELLCODE_8BIT的博客
08-17 604
(1条消息) Docker 容器安全(1):我的容器真的需要privileged权限吗?_富士康质检员张全蛋的博客-CSDN博客_docker privileged
容器安全 - 特权/root用户运行容器,提升容器的运行安全
多恩斯基的博客
11-16 2859
$ sudo docker run -ti --privileged -v /etc:/mnt centos bash [root@e21f07ad1509 /]# fdisk -l Disk /dev/vda: 98.7 GiB, 105931341824 bytes, 206897152 sectors Units: sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size
Docker容器安全实践:保障你的系统无虞
启用用户命名空间可以增加安全性,通过将容器内的root用户映射到主机上的特权用户,减少权限滥用的风险。 此外,避免使用不安全的镜像仓库和不推荐的存储驱动(如aufs),使用TLS进行守护进程的身份验证,配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值