docker的user namespace功能

最新推荐文章于 2025-03-18 19:22:36 发布
最新推荐文章于 2025-03-18 19:22:36 发布
阅读量2.2k 收藏 1
点赞数
文章标签: 运维 操作系统
原文链接:http://blog.51cto.com/yangzhiming/2384688
版权

docker的user namespace功能:

默认情况下:
容器默认是以root账号进入的,即使指定默认账号,用户也可以通过--user 0来切到root账号,容器里的root和宿主机的root是同一性质,-v挂载宿主机任意目录后,可通过容器里的root账号对宿主机数据进行破坏,风险很大

user namespace功能可以规避这一问题,user namespace可以让容器有一个“假”的root用户,它在容器内是root,被映射到容器外一个非root用户,也就是说user namespace实现了host users和container users之间的映射(只能同时支持1个账号,无法同时支持多个账号)。

检查linux操作系统是否支持user namespace:

uname -a

cat /boot/config-xxxxx | grep CONFIG_USER_NS (显示为y即为支持)

Ubuntu 16.04配置docker使用user namespace:

vi /lib/systemd/system/docker.service

ExecStart=/usr/bin/dockerd --userns-remap=default -H fd:// --containerd=/run/containerd/containerd.sock

:wq

注:
--userns-remap=可以写default,default就是dockerremap账号,也可以写具体的账号名

systemctl restart docker

ps -ef | grep dockerd (看到--userns-remap=default即生效了)

vi /etc/subuid

dockremap:1008:65536

:wq

注:
1008为宿主机执行容器的账号uid,可为本地账号uid,也可为nis账号uid

systemctl restart docker

账号启动容器时需使用root账号,可以加--user=0,如果image里没调默认账号也是root,容器里会将宿主机账号的已有数据属主为root,在容器里root生成的数据在宿主机里显示为正常账号权限

转载于:https://blog.51cto.com/yangzhiming/2384688

user_namespace分析(1)
tanzhe2017的博客
07-12 2079
1      前言Linux系统的安全体系文件权限管理是通过自主访问机制(Discretionary Access Control,DAC)实现的。自主访问机制指对象(比如程序、文件或进程等)的拥有者可以任意的修改或授予此对象相应的权限。Linux的UGO(User、Ggroup、Other)和ACL(Access Control List,访问控制列表)权限管理方式就是典型的自主访问机制。Lin...
Docker学习四:资源隔离——Namespace
weixin_41402069的博客
07-20 2425
Docker学习系列
Docker 学习笔记12 容器技术原理 User Namespace
猿来这样-谢厂节的博客
06-16 868
User Namespace一、User Namespace二、演示映射user ID和group IDuser namespace的 owner三、clone实现 一、User Namespace user namespace和权限息息相关,事关容器的安全。 user namespace可以嵌套,内核控制最多32层。除了系统默认的user namespace外,所有的user namespace都有一个父user namespace。 当在一个进程中调用unshare或clone创建新的user nam
docker使用
最新发布
m0_67790484的博客
03-18 875
Docker 是一个开源的应用容器引擎,它允许开发者打包他们的应用程序及其依赖项到一个可移植的容器中,然后发布到任何支持 Docker 的平台上运行。
Docker】资源隔离(五):User namespaces
书山有路,学海无涯。记录成长,追逐梦想
10-15 760
user namespace 主要隔离了安全相关的标识符(identifier)和属性(attribute),包括用户 ID、用户组 ID、root 目录、key(指密钥)以及特殊权限。通俗地讲,一个普通用户的进程通过 clone() 创建的新进程在新 user namespace 中可以拥有不同的用户和用户组。这意味着一个进程在容器外属于一个没有特权的普通用户,但是它创建的容器进程却属于拥有所有权限的超级用户,这个技术为容器提供了极大的自由。
User Namespace
知其然,顺其道
06-04 1327
User Namespace 问题描述 默认情况下,容器中的进程以 root 用户权限运行,并且这个 root 用户和宿主机中的 root 是同一个用户。这就意味着一旦容器中的进程有了适当的机会,它就可以控制宿主机上的一切。 通过本文,希望读者可以掌握以下知识点,从而让容器以更安全的方式运行 Linux内核是通过uid和gid来控制权限,而不是通过用户名 容器和宿主机共享内核,内核控制的uid和gid也只有一套,所以同一个uid在宿主机和容器中代表的是同一个用户(即便在不同的地方显示了不同的用户名)
Docker 基础技术之 Linux namespace 详解
weixin_34308389的博客
03-13 339
Docker 是“新瓶装旧酒”的产物,依赖于 Linux 内核技术 chroot 、namespace 和 cgroup。本篇先来看 namespace 技术。 Docker 和虚拟机技术一样,从操作系统级上实现了资源的隔离,它本质上是宿主机上的进程(容器进程),所以资源隔离主要就是指进程资源的隔离。实现资源隔离的核心技术就是 Linux namespace。这技术和很多语言的命名空间的设计思想是...
Docker探索namespace详解
09-30
Docker Namespace详解】 Docker 是一种流行的容器技术,它利用了Linux内核的特性来实现轻量级的虚拟化。其中,namespaceDocker实现资源隔离的关键技术之一。Namespace为每个容器提供了一种隔离机制,使得每个...
dockernamespace与cgroup简介
莲藕粉的博客
03-25 1292
文章目录前言容器创建过程NamespaceCgroup 前言 当谈论docker时,常常会聊到docker的实现方式。很多开发者都知道,docker容器本质上是宿主机的进程,Docker通过namespace实现了资源隔离,通过cgroups实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。 对于Linux容器的最小组成,可以由下面公式来表示 容器=namespa...
Docker浅理解:Namespace、Cgroups 和 Rootfs】
m0_74120645的博客
05-29 858
而对于 Docker 等 Linux 容器项目来说,它们只需要在每个子系统下面,为每个容器创建一个控制组(即创建一个新目录),然后在启动容器进程之后,把这个进程的 PID 填写到对应控制组的 tasks 文件中就可以了。由于 rootfs 里打包的不只是应用,而是整个操作系统的文件和目录,也就意味着,应用以及它运行所需要的所有依赖,都被封装在了一起。它是这个容器的 rootfs 最下面的几层,即镜像中的所有层的总和,它们的挂载方式都是只读的(ro+wh,即 readonly+whiteout)
DockerNameSpace与Cgroup
看清所以看轻
11-25 3441
一、docker容器技术与传统虚拟化技术的比较 Docker容器技术是一个与传统的虚拟化技术有些本质上的差别,传统的虚拟化技术,是站硬件物理资源的基础上,虚拟出多个OS,然后在OS的基础上构建相对独立的程序运行环境,而Docker则是在OS的基础上进行虚拟,所以,Docker轻量很多,因此其资源占用、性能消耗相比传统虚拟化都有很大的优势。 docker容器很快,启动和停止可以在秒级实现,比传统的虚...
CentOS7.4中配置docker user namespace以及解决docker swarm集群监控问题
10年职场两茫茫,35岁凄凉奈若何
08-01 221
CentOS7.4中配置docker user namespace以及解决docker swarm集群监控问题
docker: user namespace
Eureka
11-16 411
One of the problem I met yesterday is that I add my user on GPU server to the docker group and run a DL docker container. Although I once firmly believed that the root in docker is virtual for the rea...
USER Namespace
Go的全部
12-27 234
User Namespace 隔离用户的用户组ID package main import ( "os" "os/exec" "syscall" ) func main() { cmd := exec.Command("sh") cmd.SysProcAttr = &syscall.SysProcAttr{ Cloneflags: syscall.CLONE_NEWUTS | syscall.CLONE_NEWIPC | syscall.CLONE_NEWPID |
docker - linux namespace
vito
11-06 451
1.概述 Linux Namespace 是kernel的一个功能,它可以隔离一系列的系统资源,当前可隔离的资源有: 类型 Namespace 类型 系统调用参数 内核版本 文件系统 Mount Namespace CLONE_NEWNS 2.4.19 主机名hostname UTS Namespace CLONE_NEWUTS ...
Linux Namespace系列(08):user namespace (CLONE_NEWUSER) (第二部分)
weixin_34088583的博客
09-15 449
本篇将主要介绍user namespace和其他类型的namespace的关系。 权限涉及的范围非常广,所以导致user namespace比其他的namespace要复杂; 同时权限也是容器安全的基础,所以user namespace非常重要。 本篇所有例子都在ubuntu-server-x86_64 16.04下执行通过 和其他类型的...
user_namespace详解
07-23 1423
user_namespace struct user_namespace init_user_ns = { .uid_map = { .nr_extents = 1, .extent[0] = { .first = 0, .lower_first = 0, .count = 4294967295U, }, }, .gid_map = { .nr_extents = 1, .extent[0] = { .first = 0, .lower_first =...
Docker基础: Linux内核命名空间之(6)user namespace
知行合一 止于至善
09-15 7681
作为开源Container技术代表的Docker,它跟Linux内核的Namespace和Cgroup两大特性密不可分。物有本末,事有终始。知所先后,则近道矣。理解Linux的这两大特性将有助于我们更深入的理解Docker。 在本文中我们将会使用unshare命令来演示Linux内核的user Namespace是如何动作的。
user_namespace分析(2)
tanzhe2017的博客
07-12 2040
4      User_ns实现与验证以上分析的三点都是用户安全管理的基础,user_ns只是结合权能实现了一种局部用户的映射。User_ns的作用简单的说就是一个非特权用户可以创建一个user_ns,然后该用户可以作为该命名空间中的root特权用户,其它的跟在宿主机没有两样。在user_ns中该用户可以创建pid、net_ns等命名空间,并对其有root特权控制属于该命名空间的资源。4.1   ...
docker namespace
09-03
在最新版本的Linux内核中,提供了8种类型的Namespace,而Docker只使用了其中的前6种,分别是Mount Namespace、PID Namespace、Net Namespace、IPC Namespace、UTS NamespaceUser Namespace。通过使用这些Namespace...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值