docker 容器的权限设置

最新推荐文章于 2024-11-27 09:42:35 发布
最新推荐文章于 2024-11-27 09:42:35 发布
阅读量8.4k 收藏 7
点赞数
分类专栏: docker 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myli92/article/details/127479212
版权

1.Docker设置

Dcoker容器在使用的过程中,默认的docker run时都是以普通方式启动的,有的时候是需要使用在容器中使用iptables进行启动的,这时候就需要开启权限,只需要在docker run时增加参数

--cap-add list                   Add Linux capabilities # 添加某些权限
--cap-drop list                  Drop Linux capabilities # 关闭权限
--privileged                     Give extended privileges to this container # default false 
  
pprivileged,权限全开,不利于宿主机安全
cap-add/cap-drop,细粒度权限设置,需要什么开什么

默认run容器的情况下,查看iptables都是不允许的:iptables -nL

 有的时候,我们有需求进行网络设置,即入站、出站网络端口设置,我们可以在启动容器的时候增加相应的权限。

docker run --name=docker_nginx --cap-add NET_ADMIN -d docker_nginx

  • 1.privileged,权限全开,不利于宿主机安全
  • 2.cap-add/cap-drop,细粒度权限设置,需要什么开什么

cap-add 参数设置:

CHOWN:修改文件属主的权限

DAC_OVERRIDE:忽略文件的DAC访问限制

DAC_READ_SEARCH:忽略文件读及目录搜索的DAC访问限制

FOWNER:忽略文件属主ID必须和进程用户ID相匹配的限制

FSETID:允许设置文件的setuid位

KILL:允许对不属于自己的进程发送信号

SETGID:允许改变进程的组ID

SETUID:允许改变进程的用户ID

SETPCAP:允许向其他进程转移能力以及删除其他进程的能力

LINUX_IMMUTABLE:允许修改文件的IMMUTABLE和APPEND属性标志

NET_BIND_SERVICE:允许绑定到小于1024的端口

NET_BROADCAST:允许网络广播和多播访问

NET_ADMIN:允许执行网络管理任务

NET_RAW:允许使用原始套接字

IPC_LOCK:允许锁定共享内存片段

IPC_OWNER:忽略IPC所有权检查

SYS_MODULE:允许插入和删除内核模块

SYS_RAWIO:允许直接访问/devport,/dev/mem,/dev/kmem及原始块设备

SYS_CHROOT:允许使用chroot()系统调用

SYS_PTRACE:允许跟踪任何进程

SYS_PACCT:允许执行进程的BSD式审计

SYS_ADMIN:允许执行系统管理任务,如加载或卸载文件系统、设置磁盘配额等

SYS_BOOT:允许重新启动系统

SYS_NICE:允许提升优先级及设置其他进程的优先级

SYS_RESOURCE:忽略资源限制

SYS_TIME:允许改变系统时钟

SYS_TTY_CONFIG:允许配置TTY设备

MKNOD:允许使用mknod()系统调用

LEASE:允许修改文件锁的FL_LEASE标志

2.docker-compose的设置 

containers:
      - name: snake
        image: docker.io/kelysa/snake:lastest
        imagePullPolicy: Always
        securityContext:
          privileged: true
          capabilities:
            add: ["NET_ADMIN","NET_RAW"]

参考:

docker容器权限设置--cap-add | --cap-drop | privileged - Marathon-Davis - 博客园

Docker容器Docker容器中的权限管理
jks212454的博客
08-17 1645
Docker容器Docker容器中的权限管理
如何解决 docker-compose.yml 映射目录没有权限/无法访问的问题
最新发布
XiaoqiangClub的博客
04-01 508
如何解决 docker-compose.yml 映射目录没有权限/无法访问的问题
边学边用docker-为什么要进到容器里面修改权限
weixin_44500921的博客
10-09 749
请注意,容器重启后,之前修改的权限可能会丢失,除非你使用了 Dockerfile 中的 RUN chmod 命令来设置初始权限,或者使用了卷(volume)来持久化数据。在 Docker 容器中修改文件夹权限,通常需要进入容器内部来执行命令,这是因为 Docker 容器提供了一个隔离的环境,其内部的文件系统与宿主机是隔离的。1. 隔离性:Docker 容器设计为轻量级的隔离环境,每个容器都有自己的文件系统。6. 操作习惯:在容器内部修改权限是一种常见的操作习惯,因为这样可以确保容器的运行环境符合预期。
docker容器权限设置--cap-add | --cap-drop | privileged
更多内容查看博客描述。
04-22 3552
1.privileged,权限全开,不利于宿主机安全2.cap-add/cap-drop,细粒度权限设置,需要什么开什么。
Docker容器权限不足,如何配置权限
4G/5G随身WiFi专业DIY改装
09-11 6891
Docker 容器报告权限不足时,可能是由于容器内部的用户与主机操作系统的用户不匹配导致的。解决这个问题的一种常见方法是在容器内部设置适当的用户和权限。以下是几种配置容器权限的方法:在 Dockerfile 中配置用户和权限:你可以在 Dockerfile 中使用 USER 和 RUN 命令来配置容器内的用户和权限。例...
Docker容器权限问题
weixin_43936332的博客
06-03 3788
我们在Docker的使用过程中,常常面临一种困扰,即进入Docker容器后,很多命令都没有权限执行,如下所示:从上图中可以看出,尽管我们的Docker容器显示自己的身份是root,但是依旧有很多命令我们无法执行。下面,我就来给大家提供一下这种问题的解决方法。
docker容器设置权限
笑笑布丁的博客
01-13 4165
背景 如果默认运行容器的话,容器的默认权限会是root级别,这会带来很多不稳定的因素,例如容器可能修改一些只有root用户能修改的东西,假如使用nobody的话,又会造成容器想写入一些普通文件,会因为没有权限而被宿主主机拒绝. 怎样设置权限呢? 我采用的是docker-compose 设置 .env 文件实现 首先在dockers-compose 文件中加入.env services: xxx: env_file: - sample.env user:
docker容器中切换用户,提示权限不足的解决
01-20
docker容器中切换用户,提示权限不足: 解决办法: 启动容器是使用特权启动: docker run -i -t –privileged -v /home/dora:/home/dora centos_ora /bin/bash 补充知识:linux下docker使用普通权限运行 linux下...
Docker创建容器时目录权限踩坑
09-29
这个过程对于初学者来说可能比较难以理解,因为它涉及到Linux的文件系统权限管理和Docker容器权限机制的相互作用。然而,它是确保Docker容器正常运行的一个关键步骤。 总结来说,当我们在创建Docker容器并挂载宿...
docker 详解设置容器防火墙
01-11
但是这样的话就将系统的所有能力都开放给了Docker容器 有一个image为aaa的将启动为容器名为bbb的且在容器内需要使用iptables功能,可以使用–privileged=true来进行开启,如: docker run --privileged=true -d -...
十三、怎样在Docker设置容器间通信的权限和访问控制策略
骑上单车去旅行的博客
11-27 808
【代码】十三、怎样在Docker设置容器间通信的权限和访问控制策略。
Docker详解(十二)——Docker容器权限问题
永远是少年
04-19 2万+
今天继续给大家介绍Linux运维相关知识,本文主要内容是Docker容器权限问题。 一、Docker容器权限问题概述 二、Docker容器权限问题解决 (一)Docker权限问题 (二)systemctl命令无权执行解决
运维专题.Docker功能权限(Capabilities)管理和查看
jclee95的个人博客
05-27 1892
本文介绍Docker中功能权限(Capabilities)管理和查看。
docker权限设置:让非root用户可以操作docker
良知犹存的博客
11-02 4119
docker使用的时候需要sudo权限,但是很多时候我们账号是没有管理员权限的,为了不扩展管理员权限,我们可以把docker设置为非root用户操作
docker权限设置:让非root用户可以操作docker--》附带:linux新增用户添加root权限
热门推荐
白骨梦儿
08-04 2万+
一、首先在linux下创建新用户 #创建用户username adduser username #修改用户username的密码 passwd username 二、为用户添加root权限 方法一:修改 /etc/sudoers 文件,找到下面一行,把前面的注释(#)去掉 Allows people in group wheel to run all commands %wheel ALL=(ALL) ALL 然后修改用户,使其属于root组(wheel),命令如下: #usermod -
Docker基础(0)docker用户创建和设置权限
wangleleb的博客
08-01 806
一般来说,在按照官网的方法步骤安装完成docker之后,会默认创建完成一个docker用户组,如果没有,那么则需要我们手动创建。
学会这三招,Docker 容器权限管理乐无忧!
easylife206的专栏
12-28 3932
如果平常有在玩 Docker 的用户肯定知道透过 docker command 启动的容器预设是使用 root 用户来当作预设使用者及群组的。这样就会遇到一个问题,当主机环境你拥有 ro...
docker数据卷权限管理--理论和验证
jialiu111111的博客
07-11 3426
当"es"用户的进程访问"/docker/elasticsearch-7.4.2/data"目录时,没有root权限,会出现 Permission denied的问题。1.3、如果在容器内对挂载目录下的文件进行了操作,则相应文件的所有者就会升级为root,如果容器中只有非root用户的权限,就无法对这些文件进行操作了。如果在容器内对挂载目录下的文件进行了操作,则相应文件的所有者就会升级为root,如果容器中只有非root用户的权限,就无法对这些文件进行操作了。我们查看挂载数据卷时候的目录权限和当前用户。
ubantu14 安装docker设置docker权限
y42775jp_lm的博客
02-21 1097
ubantu14 安装docker设置docker权限安装环节:准备更新apt-get、安装apt-transport-https和ca-certificates、添加新的GPG key $ sudo apt-get update $ sudo apt-get install apt-transport-https ca-certificates $ sudo apt-key adv --k
怎么给docker容器设置权限
06-13
可以通过以下两种方式给Docker容器设置权限: 1. 在运行Docker容器时添加“--user”选项,指定容器中运行的进程所使用的用户和用户组。例如,可以使用以下命令将容器中的进程的用户和用户组设置为“1000:1000”: ``` docker run --user 1000:1000 image_name ``` 2. 在Dockerfile中使用“USER”指令,指定容器中运行的进程所使用的用户和用户组。例如,可以在Dockerfile中添加以下指令将容器中的进程的用户和用户组设置为“1000:1000”: ``` USER 1000:1000 ``` 这两种方式都可以有效地限制容器中运行的进程的权限,提高容器的安全性。需要注意的是,容器中运行的进程的用户和用户组必须在容器镜像中存在,否则容器无法启动。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值