Linux下docker的安全

最新推荐文章于 2023-12-14 21:42:53 发布
最新推荐文章于 2023-12-14 21:42:53 发布
阅读量451 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42303254/article/details/88855783
版权

docker的安全

 

1、一般情况下,容器中操作权限受限(因为运行容器的是普通用户,并不是超户)

[root@server1 ~]# docker run -it --name vm1 ubuntu
root@f8f4008a8872:/# ip addr add 172.17.0.100/24 dev eth0
RTNETLINK answers: Operation not permitted   #操作受限,因为没有网络管理的权限
root@f8f4008a8872:/# fdisk -l   #看不到任何信息,因为没有查看磁盘的权限

2、授予所有权限

[root@server1 ~]# docker run -it --name vm2 --privileged=true ubuntu
root@32a9b0c57eb8:/# ip addr add 172.17.0.100/24 dev eth0   #给网卡eth0添加IP172.17.0.100/24
root@32a9b0c57eb8:/# ip addr show eth0
32: eth0@if33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.3/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet 172.17.0.100/24 scope global eth0
       valid_lft forever preferred_lft forever
root@32a9b0c57eb8:/# fdisk -l   #查看vm1容器真实存在的设备

Disk /dev/vda: 21.5 GB, 21474836480 bytes
16 heads, 63 sectors/track, 41610 cylinders, total 41943040 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x0000fc33

   Device Boot      Start         End      Blocks   Id  System
/dev/vda1   *        2048     2099199     1048576   83  Linux
/dev/vda2         2099200    41943039    19921920   8e  Linux LVM

3、授予指定权限(网络管理的权限)

[root@server1 ~]# docker run -it --name vm3 --cap-add=NET_ADMIN ubuntu
root@f6fe1679ff3b:/# ip addr add 172.17.0.200/24 dev eth0   #给网卡eth0添加IP172.17.0.200/24
root@f6fe1679ff3b:/# ip addr show eth0
34: eth0@if35: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:ac:11:00:04 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.4/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet 172.17.0.200/24 scope global eth0
       valid_lft forever preferred_lft forever
root@f6fe1679ff3b:/# fdisk -l   #看不到任何信息,因为没有查看磁盘的权限,只有网络管理的权限

4、查看相应的权限

[root@server1 ~]# docker inspect -f {{.HostConfig.Privileged}} vm1   #查看容器vm1是否具有所有权限。如果是,则返回True;如果不是,则返回False。
false
[root@server1 ~]# docker inspect -f {{.HostConfig.Privileged}} vm2
true
[root@server1 ~]# docker inspect -f {{.HostConfig.Privileged}} vm3
false
[root@server1 ~]# docker inspect -f {{.HostConfig.CapAdd}} vm1   #查看容器vm1有哪些权限。如果有,则返回相应的权限,如果没有,则返回[]。
[]
[root@server1 ~]# docker inspect -f {{.HostConfig.CapAdd}} vm2
[]
[root@server1 ~]# docker inspect -f {{.HostConfig.CapAdd}} vm3
[NET_ADMIN]

 

 

 

 

 

 

 

 

 

柒️星
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker安全部署的17条建议
01-30
本文作者从Docker镜像、网络命名空间、日志和审核、守护进程特权、SELinux、二进制SUID/GUID、设备控制组、服务和应用、 Linux内核、用户命名空间、libseccomp等方面给出了自己的建议,可以一读。当前持续增长的云计算市场对虚拟化技术有着强烈的需求。遗憾的是,大多数的虚拟化解决方案不够灵活,无法满足研发需求,且使用全虚拟化解决方案的潜在开销变成了制约基础设施扩展性的负担。Docker让开发和运维人员能无缝地部署容器,用于运行业务所需的应用与服务,从而减少这类开销。然而,因为Docker与宿主系统使用同一内核,配置不当
在CentOS Linux下安装Docker图文教程
08-01
相比Docker-EE,增加一些额外功能,更重要的是提供了更安全的保障。 此外,Docker的发布版本分为Stable版和Edge版,区别在于前者是按季度发布的稳定版(发布慢),后者是按月发布的边缘版(发布快)。 通常情况下,...
Ubuntu16.04从普通用户切换到root用户认证失败的解决方案
zapachep的博客
07-23 1757
安装了Ubuntu16.04之后,自动登录的都是自己的普通用户,并不是最高权限的root用户,此时如果想变更为root用户,可以在普通用户后使用sudo su命令,就可以切换到root目录。但是觉得这种方法在一些情况下比较费事。 一般情况下我们会使用su命令来直接切换到root目录,但是一开始安装后,我们并没有给root用户设置密码,开始设置的只是普通用户的密码,所以会出现认证失败的错误,所以只需要给root用户设置一个密码就可以了。下面是具体解决方法: (1)输入s...
全志V3s之NFS连接ubuntu22.04
a_qwq_a的博客
12-14 212
出现以上问题,主要是NFS版本的问题。NFS是一种网络文件系统,它允许计算机通过网络共享文件和目录。在Linux内核中,NFS实现作为内核模块存在,可以在需要时加载。NFS在Linux内核的许多版本中都得到了支持,从2.0版本开始就有了NFSv2,2.2版本开始支持NFSv3,2.6版本开始支持NFSv4。此外,还有一些可选的NFS相关内核模块,例如nfsd(NFS服务器),nfs_acl(NFS访问控制列表)和lockd(NFS文件锁定)。
ubuntu 18.04 enp8s0更改网口名称为eth0
07-06 2755
尝试各种方法均不成功,后参考如下方法终于成功:方法一:单纯改网卡名,重启后显示原网卡名。 1 如我的网卡名是enp8s0 2 >> ip link set enp8s0 down //关闭网卡 3 >> ip link set enp8s0 name eth0 //重命名为eth0 4 >> ip link set eth0 up //启用eth0 5 6 你可以使用ifconfig或者ip link show来查看修改后的结果   单纯改网卡名,并使之起作用  若提
RTNETLINK answers: Operation not permitted
B1334628598的博客
12-05 8917
如果出现:RTNETLINK answers: Operation not permitted,那是因为没有权限。 解决办法:su,输入root密码。 转载于:https://www.cnblogs.com/denggelin/p/6135378.html...
linux 打开多网络上网功能
ldinvicible的专栏
11-18 1591
ip: RTNETLINK answers: Operation not supported linux当有多个网络需要同时上网时候需要关闭此功能 echo 0 >/proc/sys/net/ipv4/conf/all/rp_filter echo 0 >/proc/sys/net/ipv4/conf/eth0/rp_filter 一、rp_filter参数介绍 rp_filter参数用于控制系统是否开启对数据包源地址的校验。 首先看一下Linux内核文档document..
Docker容器中执行throttle.sh显示权限报错:RTNETLINK answers: Operation not permitted
Mr.zwX
11-05 1145
解决方案说简单也挺简单,只需要两步完成。但是其实又蛮繁琐,因为需要将现在的容器保存为镜像,然后从镜像重新创建容器(关键点是在创建新容器过程中加入权限指令)。但是,出现了权限的报错:RTNETLINK answers: Operation not permitted
给安卓系统添加路由时,报错:RTNETLINK answers: Operation not permitted的解决办法
xinbadar的博客
04-28 9025
问题描述: 当前应用场景是安卓系统5.1跨内网、外网两个网络,在配置路由时,报错 RTNETLINK answers: Operation not permitted,如图所示。 问题原因: 执行该命令需要的权限比当前用户的权限要高,操作没有权限,导致执行失败。 解决办法: (1)切换到root用户 命令为:#adb shell su 结果如图所示,切换到了root用户。 (2)重新执行命令 重新执行命令,#ip route add 10.168.200.0/24XXXXXXXX.
RTNETLINK answers: Operation not possible due to RF-kill
weixin_30808693的博客
05-26 1306
>ip link set wlp3s0 up RTNETLINK answers: Operation not possible due to RF-kill 因为不小心按了Fn+F5把无线网卡禁用掉了,所以up不起来 转载于:https://www.cnblogs.com/avexer/archive/2013/05/26/3258297.html...
Linux系统上安装Docker的步骤
05-16
附件是在Linux系统上安装Docker的步骤,文件绿色安全,请大家放心下载,仅供交流学习使用,无任何商业目的!
linux环境下基于Docker部署的java项目的实施方案
06-03
步骤包括:选择合适的基础镜像、准备Java应用程序、配置Dockerfile、构建Docker镜像、运行Docker容器、访问Docker容器中的Java应用程序、发布Docker镜像。最佳实践包括:使用最小化的基础镜像、分离JRE和应用程序、...
docker 中遇到fork/exec /bin/sh: operation not permitted错误
qq_41763749的博客
05-21 3776
Docker中运行fork的go程序时 /* UTS Namespace主要用来隔离nodename和domainname两个系统标识。在UTS namespace里,每个namespace允许有自己的hostname。 系统API 中的clone()创建新的进程。根据填入的参数来判断哪些namesapce会被创建,而且它们的子进程也会被包含到这些namespace中。 */ package main import ( "os/exec" "syscall" "os" "log" ) fun
Docker 启动容器遇到 operation not permitted 错误的解决
xchenhao 的博客
04-22 5721
Docker 启动容器遇到 operation not permitted 错误的解决
Docker 安全加固措施
thermal_life的博客
05-28 1101
# 我们运行一个容器 [root@server1 ~]# docker run -it --rm --memory 256MB --memory-swap 256MB ubuntu root@3f308cdd0b55:/# free -m # 查看内存 total used free shared buffers cached Mem: 991 433 557 12
docker 报错集锦
lyj1101066558的博客
03-17 1994
1.demo:/etc/udev/rules.d# pipework br0 centos6 192.168.32.106/[email protected] 报错:Docker inspect returned invalid PID 0 解决:Pid 为0 的原因是  该容器没有启动  docker ps 查看已经启动的容器有哪些 2.demo:/etc/ud
Docker 解决Operation not permitted问题
contiguous的博客
11-02 6453
解决Docker中安装PHP扩展包没有权限的问题
keil5安装程序(包含keygen)
最新发布
05-21
keil5安装程序(包含keygen)适用于单片机学习
linuxdocker安装详细流程
06-09
下面是在Linux系统下安装Docker的详细流程: 1. 更新系统 在安装Docker之前,建议先更新一下系统的软件包,以确保系统的稳定性和安全性。可以使用以下命令更新系统: ``` sudo apt-get update sudo apt-get ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值