docker的user namespace功能

最新推荐文章于 2023-10-15 21:15:30 发布
最新推荐文章于 2023-10-15 21:15:30 发布
阅读量2.1k 收藏 1
点赞数
文章标签: 运维 操作系统
原文链接:http://blog.51cto.com/yangzhiming/2384688
版权

docker的user namespace功能:

默认情况下:
容器默认是以root账号进入的,即使指定默认账号,用户也可以通过--user 0来切到root账号,容器里的root和宿主机的root是同一性质,-v挂载宿主机任意目录后,可通过容器里的root账号对宿主机数据进行破坏,风险很大

user namespace功能可以规避这一问题,user namespace可以让容器有一个“假”的root用户,它在容器内是root,被映射到容器外一个非root用户,也就是说user namespace实现了host users和container users之间的映射(只能同时支持1个账号,无法同时支持多个账号)。

检查linux操作系统是否支持user namespace:

uname -a

cat /boot/config-xxxxx | grep CONFIG_USER_NS (显示为y即为支持)

Ubuntu 16.04配置docker使用user namespace:

vi /lib/systemd/system/docker.service

ExecStart=/usr/bin/dockerd --userns-remap=default -H fd:// --containerd=/run/containerd/containerd.sock

:wq

注:
--userns-remap=可以写default,default就是dockerremap账号,也可以写具体的账号名

systemctl restart docker

ps -ef | grep dockerd (看到--userns-remap=default即生效了)

vi /etc/subuid

dockremap:1008:65536

:wq

注:
1008为宿主机执行容器的账号uid,可为本地账号uid,也可为nis账号uid

systemctl restart docker

账号启动容器时需使用root账号,可以加--user=0,如果image里没调默认账号也是root,容器里会将宿主机账号的已有数据属主为root,在容器里root生成的数据在宿主机里显示为正常账号权限

转载于:https://blog.51cto.com/yangzhiming/2384688

weixin_33728268
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
user_namespace分析(1)
tanzhe2017的博客
07-12 1949
1      前言Linux系统的安全体系文件权限管理是通过自主访问机制(Discretionary Access Control,DAC)实现的。自主访问机制指对象(比如程序、文件或进程等)的拥有者可以任意的修改或授予此对象相应的权限。Linux的UGO(User、Ggroup、Other)和ACL(Access Control List,访问控制列表)权限管理方式就是典型的自主访问机制。Lin...
通过iptables限制docker 容器的运行端口
最新发布
qq_30381077的博客
04-28 778
DOCKER-USER链是上述FORWARD链中第一个规则匹配的到的链。外部访问的数据包,其物理输入网口(如ens192),它是对外通信的网口。我们可以在此,插入只允许某个网络访问,或某个网络不能访问的规则。主机nacos容器的默认访问端口为8848,首先要禁止所有IP访问docker的8848端口。配置允许访问的IP,删除DOCKER-USER的链中的默认规则(默认规则允许任意ip访问)#显示DOCKER-USER的链中的规则信息。#删除DOCKER-USER的链中的默认规则。#删除RETURN的规则。
Docker 学习笔记12 容器技术原理 User Namespace
编程圈子-谢厂节的博客
06-16 794
User Namespace一、User Namespace二、演示映射user ID和group IDuser namespace的 owner三、clone实现 一、User Namespace user namespace和权限息息相关,事关容器的安全。 user namespace可以嵌套,内核控制最多32层。除了系统默认的user namespace外,所有的user namespace都有一个父user namespace。 当在一个进程中调用unshare或clone创建新的user nam
Docker 内核详解】namespace 资源隔离(五):User namespaces
书山有路,学海无涯。记录成长,追逐梦想
10-15 548
user namespace 主要隔离了安全相关的标识符(identifier)和属性(attribute),包括用户 ID、用户组 ID、root 目录、key(指密钥)以及特殊权限。通俗地讲,一个普通用户的进程通过 clone() 创建的新进程在新 user namespace 中可以拥有不同的用户和用户组。这意味着一个进程在容器外属于一个没有特权的普通用户,但是它创建的容器进程却属于拥有所有权限的超级用户,这个技术为容器提供了极大的自由。
User Namespace
知其然,顺其道
06-04 1181
User Namespace 问题描述 默认情况下,容器中的进程以 root 用户权限运行,并且这个 root 用户和宿主机中的 root 是同一个用户。这就意味着一旦容器中的进程有了适当的机会,它就可以控制宿主机上的一切。 通过本文,希望读者可以掌握以下知识点,从而让容器以更安全的方式运行 Linux内核是通过uid和gid来控制权限,而不是通过用户名 容器和宿主机共享内核,内核控制的uid和gid也只有一套,所以同一个uid在宿主机和容器中代表的是同一个用户(即便在不同的地方显示了不同的用户名)
Docker 基础技术之 Linux namespace 详解
weixin_34308389的博客
03-13 298
Docker 是“新瓶装旧酒”的产物,依赖于 Linux 内核技术 chroot 、namespace 和 cgroup。本篇先来看 namespace 技术。 Docker 和虚拟机技术一样,从操作系统级上实现了资源的隔离,它本质上是宿主机上的进程(容器进程),所以资源隔离主要就是指进程资源的隔离。实现资源隔离的核心技术就是 Linux namespace。这技术和很多语言的命名空间的设计思想是...
Docker探索namespace详解
09-30
Docker Namespace详解】 Docker 是一种流行的容器技术,它利用了Linux内核的特性来实现轻量级的虚拟化。其中,namespaceDocker实现资源隔离的关键技术之一。Namespace为每个容器提供了一种隔离机制,使得每个...
详解Linux NamespaceUser
09-15
Linux Namespace 是一种强大的技术,允许在单个操作系统实例中创建多个独立的视图,仿佛有多个独立...了解并掌握User Namespace的原理和操作,对于理解和使用现代Linux系统,特别是容器技术,如Docker,具有重要意义。
如何隔离docker容器中的用户的方法
09-30
更新 `/etc/subuid` 和 `/etc/subgid` 文件后,在 Docker 的配置文件 `/etc/docker/daemon.json` 中添加 `"userns-remap": "dockeruser"`,这样 Docker 将使用这个用户进行用户隔离。 2. 使用默认设置:若希望 ...
namespace.zip
06-29
- User Namespace:隔离用户和用户组ID,用于安全的用户权限模拟。 - Network Namespace:隔离网络设备、协议栈、端口等网络资源。 - UTS Namespace:隔离主机名和域名。 2. **实验代码解析** - `test_tty.c`:...
Docker入门系列–Docker中的网络(六)
01-07
1、Linux内核中的NameSpace namespace 系统调用参数 隔离内核 内核版本 UTS CLONE_NEWUTS 主机名和域名 ...User CLONE_NEWNS 用户和用户组 3.8 2、Docker网络通讯示意图 3、Docker中的防火墙
CentOS7.4中配置docker user namespace以及解决docker swarm集群监控问题
10年职场两茫茫,35岁凄凉奈若何
08-01 197
CentOS7.4中配置docker user namespace以及解决docker swarm集群监控问题
docker: user namespace
Eureka
11-16 355
One of the problem I met yesterday is that I add my user on GPU server to the docker group and run a DL docker container. Although I once firmly believed that the root in docker is virtual for the rea...
USER Namespace
Go的全部
12-27 200
User Namespace 隔离用户的用户组ID package main import ( "os" "os/exec" "syscall" ) func main() { cmd := exec.Command("sh") cmd.SysProcAttr = &syscall.SysProcAttr{ Cloneflags: syscall.CLONE_NEWUTS | syscall.CLONE_NEWIPC | syscall.CLONE_NEWPID |
docker - linux namespace
vito
11-06 413
1.概述 Linux Namespace 是kernel的一个功能,它可以隔离一系列的系统资源,当前可隔离的资源有: 类型 Namespace 类型 系统调用参数 内核版本 文件系统 Mount Namespace CLONE_NEWNS 2.4.19 主机名hostname UTS Namespace CLONE_NEWUTS ...
Linux Namespace系列(08):user namespace (CLONE_NEWUSER) (第二部分)
weixin_34088583的博客
09-15 395
本篇将主要介绍user namespace和其他类型的namespace的关系。 权限涉及的范围非常广,所以导致user namespace比其他的namespace要复杂; 同时权限也是容器安全的基础,所以user namespace非常重要。 本篇所有例子都在ubuntu-server-x86_64 16.04下执行通过 和其他类型的...
user_namespace详解
07-23 1289
user_namespace struct user_namespace init_user_ns = { .uid_map = { .nr_extents = 1, .extent[0] = { .first = 0, .lower_first = 0, .count = 4294967295U, }, }, .gid_map = { .nr_extents = 1, .extent[0] = { .first = 0, .lower_first =...
Docker基础: Linux内核命名空间之(6)user namespace
知行合一 止于至善
09-15 7629
作为开源Container技术代表的Docker,它跟Linux内核的Namespace和Cgroup两大特性密不可分。物有本末,事有终始。知所先后,则近道矣。理解Linux的这两大特性将有助于我们更深入的理解Docker。 在本文中我们将会使用unshare命令来演示Linux内核的user Namespace是如何动作的。
user_namespace分析(2)
tanzhe2017的博客
07-12 1933
4      User_ns实现与验证以上分析的三点都是用户安全管理的基础,user_ns只是结合权能实现了一种局部用户的映射。User_ns的作用简单的说就是一个非特权用户可以创建一个user_ns,然后该用户可以作为该命名空间中的root特权用户,其它的跟在宿主机没有两样。在user_ns中该用户可以创建pid、net_ns等命名空间,并对其有root特权控制属于该命名空间的资源。4.1   ...
docker namespace
09-03
Docker使用了Linux的Namespace技术来实现容器的隔离。Namespace是对全局系统资源的一种封装隔离,它可以让不同的Namespace中的进程拥有独立的全局系统资源。这样改变一个Namespace的系统资源只会影响当前Namespace中的进程,对其他Namespace中的资源没有影响。在最新版本的Linux内核中,提供了8种类型的Namespace,而Docker只使用了其中的前6种,分别是Mount Namespace、PID Namespace、Net Namespace、IPC Namespace、UTS NamespaceUser Namespace。通过使用这些NamespaceDocker实现了容器的隔离性和资源的独立性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Docker学习四:资源隔离——Namespace](https://blog.csdn.net/weixin_41402069/article/details/125866261)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [一文彻底搞懂Docker中的namespace](https://blog.csdn.net/songguangfan/article/details/121727435)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值