在容器镜像中为了安全为什么要删除 setuid 和 setgid?

最新推荐文章于 2024-02-22 22:22:11 发布
最新推荐文章于 2024-02-22 22:22:11 发布
阅读量1.1k 收藏 10
点赞数 9
分类专栏: 架构 文章标签: 安全 容器 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/surfirst/article/details/136053792
版权

在容器镜像中删除 setuid(set user ID)和 setgid(set group ID)权限通常是出于安全考虑。这两个权限位允许进程在执行时以文件所有者或文件所属组的身份运行,而不是以调用进程的用户身份运行。

删除 setuid 和 setgid 权限的主要原因包括:

  1. 减少潜在的权限滥用: 如果容器中的应用程序或进程具有不必要的 setuid 或 setgid 权限,可能会成为潜在的安全威胁。攻击者可能会利用这些权限提升自己的权限或执行未经授权的操作。

  2. 最小化攻击面: 删除不必要的权限可以帮助最小化容器的攻击面。通过限制应用程序能够以特权身份执行的操作,可以减少潜在的漏洞和攻击向量。

  3. 符合最佳实践: 安全最佳实践建议在容器中尽可能限制权限,仅保留应用程序正常运行所需的最小权限。这有助于降低容器环境的风险。

在构建容器镜像时,可以通过在 Dockerfile 中使用命令,如 RUN find / -perm +6000 -type f -exec chmod a-s {} + 来删除 setuid 和 setgid 权限。这将在容器中搜索并删除所有具有 setuid 或 setgid 权限的文件。

FROM base_image

# 删除 setuid 和 setgid 权限
RUN find / -perm +6000 -type f -exec chmod a-s {} +

请注意,在某些情况下,应用程序可能确实需要这些权限才能正常运行。因此,删除这些权限之前应该仔细测试确保应用程序的正常功能。

surfirst
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Docker容器镜像安全最佳实践指南
WeiyiGeek 唯一极客IT知识分享
03-10 4065
文章目录:0x02 Docker 容器安全最佳实践1.主机安全配置1.1 更新docker到最新版本1.2 为容器创建一个单独的分区1.3 只有受信任的用户才能控制docker守护进程1.4 审计docker守护进程1.5 审计docker相关的文件和目录2.docker守护进程配置2.1 限制默认网桥上容器之间的网络流量2.2 设置日志级别为info2.3 允许 doc...
容器安全概述
悦分享
07-04 4280
Docker是目前最具代表性的容器技术之一,对云计算及虚拟化技术产生了颠覆性的影响。以Docker为代表的容器技术,直接运行于宿主机操作系统内核,因此对于容器安全,很多人会有着这样的疑问:EDR(Endpoint Detection and Response)等主机安全方案,能否直接解决容器安全的问题?概括来说,容器/容器安全,可以包括以下四个类别:第一,就是容器环境基础设施的安全性,比如主机上的安全配置是否会影响到其上面运行的容器,主机上的安全漏洞是否会影响到容器,主机上的恶意进程是否会影响到容器容器
setuid和setgid权限说明
Linux知识积累
08-22 2468
1、setuid和setgid的解说setuid和setgid位是让普通用户可以以root用户的角色运行只有root帐号才能运行的程序或命令。比如我们用普通用户运行pas...
Docker-镜像删除setuid和setgid权限
hengliang_的博客
02-05 676
镜像删除setuid和setgid权限 描述 删除镜像setuid和setgid权限防止容器的提权攻击。 解释 setuid和setgid可用于提升权限。 虽然这些权限有时必须,应考虑为镜像不需要的软件包删除这些权限。 审计方法 在镜像上运行以下命令以列出具有setuid和setgid权限的可执行文件:docker run <Image_ID> find / -perm +6000-type f -exec ls -ld {} \; 2> /dev/nul.
理解 docker 容器的 uid 和 gid
weixin_34176694的博客
09-10 1418
默认情况下,容器的进程以 root 用户权限运行,并且这个 root 用户和宿主机的 root 是同一个用户。听起来是不是很可怕,因为这就意味着一旦容器的进程有了适当的机会,它就可以控制宿主机上的一切!本文我们将尝试了解用户名、组名、用户 id(uid)和组 id(gid)如何在容器内的进程和主机系统之间映射,这对于系统的安全来说是非常重要的。说明:本文的演示环境为 ubuntu 16.04...
Docker容器安全的8大风险和33个最佳实践丨IDCF
dotNET跨平台
03-08 1146
作者:StackRox译者:冬哥原文:https://www.stackrox.io/blog/docker-security-101/容器以及例如Kubernetes等编排器开启了应用程...
docker容器实用命令一览及rancher及镜像操作全家桶
MarshalEagle的博客
09-16 1532
1、安装 1.1 安装前准备 关闭防火墙并禁止开机自启 systemctl stop firewalld.service systemctl disable firewalld 关闭selinux,若不关闭会影响容器查看映射的宿主机文件的权限 setenforce 0 sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/sysconfig/selinux 1.2. 安装docker #安装前对/var/lib/docker 目录做好
容器可用安全策略
k8s 生态
09-22 218
本节是第六部分“安全篇”的第二篇,在这个部分,我将用四篇内容为你介绍包括镜像容器和 Linux 内核的 LSM 等内容。上篇,我为你介绍了容器镜像安全相关的内容。本篇,我们将重点放在容器安全上。 在第一部分“容器篇”,我已经带你深入剖析了 Docker 容器的本质,以及其所用到的核心技术 cgroups 和 namespace。 在上一篇,我为你介绍了镜像安全相关的内容,分享了一些思...
linux三个特殊权限setuid、setgid和stick bit.docx
09-26
Linux 系统除了我们熟知的读(r)、写(w)、执行(x)权限外,还有三个比较特殊的权限,分别为:setuid、setgid 和 stick bit(粘滞位)。这三个特殊权限在 Linux 系统扮演着重要的角色,下面将对它们进行详细的解释...
gosu:简单的基于Go的setuid + setgid + setgroups + exec
04-12
它们的设置和使用也有些复杂(特别是在sudo的情况下),这允许很大的表达力,但是如果您所需要做的只是“以该特定用户身份运行此特定应用程序并摆脱困境,管道”。 怎样的核心gosu作品直接从如何泊坞窗/ ...
简要对比C语言setgid()函数和setregid()函数
09-03
在C语言,系统调用提供了对进程权限管理的重要接口,其包括`setgid()`和`setregid()`两个函数,它们主要用于改变进程的组识别码(Group ID, GID)。了解这两个函数对于深入理解进程权限控制和多用户环境下的程序...
关于Linux和Unix动态连接库的安全
03-04
- 在GNU glibcsetuid/setgid程序会忽略`LD_LIBRARY_PATH`和`LD_PRELOAD`等变量,以防止滥用。 - glibc通过检查程序的权限标志来判断其是否为setuid/setgid,并相应地限制动态链接。 6. **其他Unix系统的处理*...
软件架构图该怎么画?架构设计如何标准化?
热门推荐
surfirst的博客
06-19 1万+
本文试图回答以下问题: 1. 如何标准化软件架构设计? 2. 如何把软件架构设计拆解成一个个小任务,渐进完成,辅助敏捷开发? 3. 如何共享软件架构设计内容,让团队成员都能更新,而不只是存在于架构师的PPT里?...
AIGC 实战:如何使用 Docker 在 Ollama 上离线运行大模型(LLM)
surfirst的博客
02-22 9200
Ollama 是一个开源平台,用于管理和运行各种大型语言模型 (LLM),例如 Llama 2、Mistral 和 Tinyllama。它提供命令行界面 (CLI) 用于安装、模型管理和交互。您可以使用 Ollama 根据您的需求下载、加载和运行不同的 LLM 模型。
Flink: 如何使用 docker-compose 来启动和测试服务?
surfirst的博客
10-24 6549
Apache Flink 是一款著名的流式计算引擎,但是它的使用 docker-compose 的教学文档写得不是很清晰,导致我花了几个小时才搞明白如何使用 docker-compose 来运行例子程序。 为了让大家不再重蹈覆辙,我记录下下面的方法供大家入门。 运行 session-cluster 文档推荐了 application cluster 和 session cluster。 Application cluster 用于专门跑某个程序,配置较为复杂。我推荐大家使用 session cluster
如何解除 VMWare Player 的 side channel mitigations 提示
surfirst的博客
02-01 6397
在运行 VMWare Player 时,你可能会看到下面的提示: 大意是打开 Mitigation 会影响虚机的性能,建议关掉,但是如果点击提示的链接按照上面的说法在虚机的 settings->advanced里面去找 Mitigation 的开关确怎么也找不到。也就是没办法关掉 Mitigation 了。 其实我们还可以通过修改虚机的 vmx 文件来关掉它。具体做法是先关掉(power off)虚机,然后找到虚机所在的文件夹,找到 vmx 文件,用文本编辑器打开它,然后加上下面的一行。最后再打开虚
如何在VS 2019里安装SQL Server数据仓库开发工具
surfirst的博客
06-12 4673
SQL Server 的 Analytic Service 提供了强大的数据仓库功能,开发者可以使用 VS 2019 来开发这些功能,但是 VS 2019 即使安装了 SQL Server Data Tools 开发者也找不到创建 Multidimensional Project 或者 Tabular Project 的位置,我们还需要单独安装 Extension 才能开始开发。 下面是安装的详细步骤: 安装 SQL Server Data Tools 打开 Visual Studio Installer,
为什么要用时序数据库,influxDB 和 VictoriaMetrics 谁才是王者?
surfirst的博客
03-24 3491
在数据库领域有一种数据库叫做时序数据库,那么相比于传统的关系数据库这种数据库有什么特点呢? 首先我们需要了解一下什么是时序数据,以及它有什么特点? 什么是时序数据? 时序数据库存储的时序数据就是带着时间戳的数据,采集时序数据的目的是监测数据的前后差异,然后做出响应。 时序数据的特点 一旦被存储就不会被修改 新的数据只会被添加到系统,数据不会在将来的某个时段被修改为其他的值。 最近产生的数据的重要性超过老数据 数据量巨大 因为每隔一个时间段就会新增一批数据,所以数据量非常大。比如对于一个有5000个数据
setuid setgid
最新发布
05-28
setuid和setgid都是一些UNIX系统提供的系统调用函数,用于设置进程或者文件的用户ID或者组ID。下面分别给你介绍一下setuid和setgid的用途: 1. setuid setuid用于设置进程的用户ID,即进程从当前用户切换到另一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

surfirst

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值