Docker容器的capability

最新推荐文章于 2024-05-27 12:37:11 发布
最新推荐文章于 2024-05-27 12:37:11 发布
阅读量3.4k 收藏 5
点赞数 1
分类专栏: docker 文章标签: 容器 capability
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/somyjun/article/details/89565421
版权

linux capability是啥?

资料来源:

http://man7.org/linux/man-pages/man7/capabilities.7.html

 For the purpose of performing permission checks, traditional UNIX

       implementations distinguish two categories of processes: privileged

       processes (whose effective user ID is 0, referred to as superuser or

       root), and unprivileged processes (whose effective UID is nonzero).

       Privileged processes bypass all kernel permission checks, while

       unprivileged processes are subject to full permission checking based

       on the process's credentials (usually: effective UID, effective GID,

       and supplementary group list).

 

       Starting with kernel 2.2, Linux divides the privileges traditionally

       associated with superuser into distinct units, known as capabilities,

       which can be independently enabled and disabled.  Capabilities are a

       per-thread attribute.

原来linux系统为了将系统权限作了分类,虽然是root用户,如果没有赋予相关的权限也是白搭。

 

下面命令列出了系统支持的capability:

[root@centos /]# capsh --print

Current: = cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_linux_immutable,cap_net_bind_service,cap_net_broadcast,cap_net_admin,cap_net_raw,cap_ipc_lock,cap_ipc_owner,cap_sys_module,cap_sys_rawio,cap_sys_chroot,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,cap_sys_nice,cap_sys_resource,cap_sys_time,cap_sys_tty_config,cap_mknod,cap_lease,cap_audit_write,cap_audit_control,cap_setfcap,cap_mac_override,cap_mac_admin,cap_syslog,35,36+ep

Bounding set =cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_linux_immutable,cap_net_bind_service,cap_net_broadcast,cap_net_admin,cap_net_raw,cap_ipc_lock,cap_ipc_owner,cap_sys_module,cap_sys_rawio,cap_sys_chroot,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,cap_sys_nice,cap_sys_resource,cap_sys_time,cap_sys_tty_config,cap_mknod,cap_lease,cap_audit_write,cap_audit_control,cap_setfcap,cap_mac_override,cap_mac_admin,cap_syslog,35,36

Securebits: 00/0x0/1'b0

 secure-noroot: no (unlocked)

 secure-no-suid-fixup: no (unlocked)

 secure-keep-caps: no (unlocked)

uid=0(root)

gid=0(root)

groups=0(root)

 

下面来看看docker-containerd这个进程所有的capability:

cat /proc/`pidof docker-containerd`/status | grep Cap

CapInh: 0000000000000000

CapPrm: 0000001fffffffff

CapEff: 0000001fffffffff

CapBnd: 0000001fffffffff

CapAmb: 0000000000000000

 

capsh --decode=0x1fffffffff    // 解码

0x0000001fffffffff=cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_linux_immutable,cap_net_bind_service,cap_net_broadcast,cap_net_admin,cap_net_raw,cap_ipc_lock,cap_ipc_owner,cap_sys_module,cap_sys_rawio,cap_sys_chroot,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,cap_sys_nice,cap_sys_resource,cap_sys_time,cap_sys_tty_config,cap_mknod,cap_lease,cap_audit_write,cap_audit_control,cap_setfcap,cap_mac_override,cap_mac_admin,cap_syslog,35,36

对比发现,与系统支持的相符合。(getpcaps `pidof docker-containerd`可以得到同样的输出)

 

下面来看看docker容器的capability:

[root@centos opt]#docker run -ti centos /bin/bash

[root@f45f03e236ec /]# capsh --print

Current: = cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap+eip

Bounding set =cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap

Securebits: 00/0x0/1'b0

 secure-noroot: no (unlocked)

 secure-no-suid-fixup: no (unlocked)

 secure-keep-caps: no (unlocked)

uid=0(root)

gid=0(root)

groups=

对比发现,容器少了大致下面的capability:

cap_net_admin,cap_net_broadcast,cap_sys_module,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,cap_sys_nice,cap_sys_resource,cap_sys_time,cap_syslog

 

因此,容器用户不允许执行ip、time这些命令。

 

 

vendor/github.com/containerd/containerd/oci/spec_unix.go,这个文件定义了缺省的capability。

func defaultCaps() []string {

        return []string{

                "CAP_CHOWN",

                "CAP_DAC_OVERRIDE",

                "CAP_FSETID",

                "CAP_FOWNER",

                "CAP_MKNOD",

                "CAP_NET_RAW",

                "CAP_SETGID",

                "CAP_SETUID",

                "CAP_SETFCAP",

                "CAP_SETPCAP",

                "CAP_NET_BIND_SERVICE",

                "CAP_SYS_CHROOT",

                "CAP_KILL",

                "CAP_AUDIT_WRITE",

        }

}

 

下面的命令可以动态的改动容器所有的capability:

[root@centos opt]#docker run --cap-drop all --cap-add net_admin -ti centos /bin/bash

[root@1db73e0aaf38 /]# capsh --print

Current: = cap_net_admin+eip   // 只具备net_admin

Bounding set =cap_net_admin

Securebits: 00/0x0/1'b0

 secure-noroot: no (unlocked)

 secure-no-suid-fixup: no (unlocked)

 secure-keep-caps: no (unlocked)

uid=0(root)

gid=0(root)

groups=

 

somyjun
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker特权容器capability
SHELLCODE_8BIT的博客
08-17 612
(1条消息) Docker 容器安全(1):我的容器真的需要privileged权限吗?_富士康质检员张全蛋的博客-CSDN博客_docker privileged
Docker Capabilities
qq_36657175的博客
10-26 872
Linux Capability and Docker Capability
运维专题.Docker功能权限(Capabilities)管理和查看
最新发布
jclee95的个人博客
05-27 1630
本文介绍Docker中功能权限(Capabilities)管理和查看
Docker capabilitydocker capability 属性功能介绍(docker运行时权限、Linux系统功能)
叮当猫的喵i
01-05 1379
出于容器之间和容器与宿主机的安全隔离保护,在默认Docker配置下,Docker容器是没有系统权限的。这是因为在默认情况下,容器内的进程不允许访问任何宿主机上的设备。默认的seccomp配置文件将根据所选的功能进行调整,以允许使用功能所允许的功能,所以从Docker1.12之后的版本,不应该对此进行调整。时,将允许Docker容器访问宿主机上的所有设备,并在AppArmor或SELinux中设置一些配置,使容器内的进程可以与容器外运行的进程几乎一样权限来访问宿主机。如果想限制对特定设备的访问,可以使用。
linux和dockercapabilities介绍
weixin_34242509的博客
12-14 348
验证环境:centos7 x86/64 内核版本4.19.9 在linux 2.2版本之前,当内核对进程进行权限验证的时候,可以将进程划分为两类:privileged(UID=0)和unprivilege(UID!=0)。其中privileged的进程拥有所有内核权限,而unprivileged则根据如可执行文件的权限(effective UID, effective GID,supplemen...
docker-sriov-plugin:用于SRIOV和直通接口的Docker网络插件
05-28
docker-sriov-plugin概述该网络插件允许直接/直通访问本地以太网网络设备到Docker容器。 它提供两种操作模式。 (1)sriov(默认) In this mode given netdev interface is used as PCIe physical function to ...
基于系统调用限制的容器安全防护方案.docx
02-23
capability 机制切割 root 权限,保证容器即使被攻击者控制,也将攻击行为限制在某一权限内;seccomp 限制用户进程可用的系统调用列表,以防止攻击者滥用不必要的系统调用。 本方案的关键技术包括: 1.镜像层级...
selenium-test:设计用于通过GitLab CI Pipeline在Selenium网格中心上远程运行测试
04-30
种子项目,用于通过Docker容器中的RemoteWebDriver运行基于Java的Selenium测试。 设计用于通过GitLab CI Pipeline在Selenium网格中心上远程运行测试。 用法 构建项目和docker映像: mvn clean install 运行选项:...
文字查重系统使用说明书.docx
11-29
系统依赖于Git进行版本控制,JDK 1.8提供Java运行环境,Gradle用于构建和管理项目,而Docker则提供了一个轻量级的容器化平台,使得服务易于部署和隔离。 总结,该文字查重系统是基于CS技术的,通过一系列自动化步骤...
流水线打造DevOps落地工具链.pptx
10-14
现代的DevOps工具链通常会整合多种工具,如Git用于版本控制,Docker用于容器化,Kubernetes进行容器编排,Jenkins或GitLab CI/CD进行持续集成与部署,以及SonarQube进行代码质量检查等。这些工具的组合使用,构建起...
Docker 实战:Docker内核能力机制
qq_33240556的博客
03-17 212
Docker 实战中,内核能力(Capabilities)机制是一个关键的安全特性,它用于细粒度地控制容器内的进程权限。通过内核能力机制,Docker 可以将 root 权限分解为一组独立的能力,并允许管理员根据容器实际需求分配相应的最小特权。总之,在 Docker 实践中,合理配置内核能力是强化容器安全性、遵循最小权限原则的重要手段之一。通过这一机制,可以在保证容器正常运行的前提下,最大程度地降低由于权限过大带来的潜在安全威胁。
[docker]Full container capabilities (–privileged)
毛台
05-12 508
Full container capabilities (–privileged) $ docker run -t -i --rm ubuntu bash root@bc338942ef20:/# mount -t tmpfs none /mnt mount: permission denied This will not work, because by default, mo
linux docker 权限划分介绍 capabilities
whatday的专栏
02-25 2415
验证环境:centos7 x86/64 内核版本4.19.9 在linux 2.2版本之前,当内核对进程进行权限验证的时候,可以将进程划分为两类:privileged(UID=0)和unprivilege(UID!=0)。其中privileged的进程拥有所有内核权限,而unprivileged则根据如可执行文件的权限(effective UID, effective GID,supplemen...
在 Kubernetes 中配置 Container Capabilities
weixin_41020960的博客
01-12 1367
我们在使用 Kubernetes 过程中,偶尔会遇到如下所示的一段配置: securityContext: capabilities: drop: - ALL add: - NET_BIND_SERVICE 实际上这是配置对应的容器Capabilities,在我们使用docker run的时候可以通过--cap-add和--cap-drop命令来给容器添加Linux Capabilities。对于大部分同学可能又要疑问Linux Capabili...
linux capability详解与容器中的capability
weixin_42152531的博客
09-29 4053
linux capability详解capability概述查看当前用户的权限进程的权限在进程内部进行用户切换(进程内调用setuid和setgid)测试内核代码文件权限查看某个文件的权限为某个文件赋权进程创建子进程的时候的权限 capability概述 在许多文章中都有讲到这部分,本文不做过多解释。自行百度。 capabilities(7) — Linux manual page——官方权威!!! Linux Capabilities 入门教程:概念篇——米开朗基杨 Linux Capabilities
[读书笔记]Docker容器安全
ThinkHY的专栏
03-28 4750
Docker能否大规模用于生产环境,尤其是公有云环境,就在于Docker是否能提供安全的环境。本文将总结《Docker容器容器云》一书3.9节『Docker容器安全』的主要内容,包括Docker现有安全机制、存在的安全问题以及Docker安全增强三个方面。
CentOS 7中建lxc-sshd容器, 报告2260 unknown capability sys_module问题的解决
暧暧远人村,依依墟里烟 ...
06-06 593
环境 宿主机: CentOS 7, x86-64 bits LXC: LXC-2.1.1,make && make install 创建lxc-sshd容器 lxc-create -t sshd -n sshd-1 -- --auth-key ./lxc.pub 运行容器 lxc-start -n sshd-1 报告如下错误 lxc-start: sshd-1: con...
第二章docker安装配置
weixin_33935777的博客
12-13 103
Docker架构Docker安装配置 docker官方文档说要求Linux kernel至少3.8以上,一般为Centos7或者Ubuntu系统, 官方文档https://docs.docker.com/engine/installation/linux/docker-ce/centos/#卸载旧dockeryum remove docker docker-com...
Docker容器化技术与应用实战
"Docker容器化应用实践.pdf" 在IT领域,Docker已经成为现代应用程序部署的首选工具,尤其在实现容器化应用方面具有显著优势。本文档深入探讨了Docker技术,以及如何通过容器来部署例如WordPress这样的应用。 一、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值