为什么 Docker 容器中的进程不应该以 root 身份运行

最新推荐文章于 2024-04-15 05:08:11 发布
最新推荐文章于 2024-04-15 05:08:11 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: Docker最全实战教程 文章标签: docker 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wlcs_6305/article/details/126670074
版权
本文讨论了在Docker容器中以root权限运行进程的安全风险,建议创建非root用户来运行应用程序,以减少攻击面。介绍了如何在Dockerfile中设置USER指令,如何在运行容器时更改用户,以及如何处理必须以root身份运行的应用程序,包括使用用户命名空间进行安全隔离。遵循这些最佳实践可以提高容器的安全性。
摘要由CSDN通过智能技术生成

在这里插入图片描述
Docker 容器中的进程不应以 root 身份运行。以您指定为 Dockerfile 的一部分或使用docker run. 这通过减少对容器中任何威胁的攻击面来最大限度地降低风险。

在本文中,您将了解以 root 身份运行容器化应用程序的危险。您还将看到如何创建一个非 root 用户并在不可能的情况下设置命名空间。

为什么以 root 身份运行是危险的?

默认情况下,容器以 root 身份运行。Docker 守护程序在您的主机上以 root 身份执行,并且运行的容器也将以 root 身份运行。
虽然看起来容器内的 root 是一个独立的用户,但实际上它与您主机上的 root 帐户相同。分离仅由 Docker 的容器隔离机制提供。没有强大的物理边界;您的容器的另一个进程由您的主机内核上的 root 用户运行。这意味着您的应用程序、Docker 运行时或 Linux 内核中的漏洞可能允许攻击者突破容器并在您的计算机上执行 root 特权操作。

有一些内置的保护措施可以降低发生这种情况的风险。容器内的根是非特权的并且具有受限的能力。这会阻止容器使用系统管理命令,除非您在启动容器时手动添加功能或使用特权模式。

尽管有这种缓解措施,但允许应用程序以 root 身份运行仍然存在危险。就像您在传统环境中限制使用 root 一样,在容器中不必要地使用它是不明智的。您正在提供一个特权过高的环境,以便在发生违规事件时为攻击者提供更多立足点。

以非 root 用户身份运行容器化应用程序

容器化应用程序以普通用户身份运行是最佳实践。大多数软件不需要 root 访问权限,因此更改用户提供了针对容器突

了解本专栏 订阅专栏 解锁全文 超级会员免费看
mikes zhang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Jenkins集成:docker-compose 权限问题
Allan_shore_ma的博客
11-02 1150
Jenkins集成:docker-compose 权限问题 一、问题:使用docker-compose up -d 启动服务器时,生成到文件是以root身份创建,不安全。 二、原因:docker-compose 默认以root用户启容器 三、 解决方案:使用root用户 dockerfile文件创建创建非root用户,在CMD之前,切换到此用户 FROM xxx # create non-privileged user and group RUN groupadd -r mahuaping -g
Docker容器运行flume及启动不输出运行日志问题
09-30
Docker容器运行Flume时,可能会遇到一个常见的问题,即Flume在启动后不会输出任何运行日志。这可能会导致调试和监控困难。本文将深入探讨这个问题的原因以及如何解决。 首先,让我们理解Flume的基本配置。Flume...
深入理解docker容器的uid和gid
01-10
默认情况下,容器进程root 用户权限运行,并且这个 root 用户和宿主机root 是同一个用户。听起来是不是很可怕,因为这就意味着一旦容器进程有了适当的机会,它就可以控制宿主机上的一切!本文我们将尝试了解用户名、组名、用户 id(uid)和组 id(gid)如何在容器内的进程和主机系统之间映射,这对于系统的安全来说是非常重要的。说明:本文的演示环境为 ubuntu 16.04(下图来自互联网)。 先来了解下 uid 和 gid uid 和 gid 由 Linux 内核负责管理,并通过内核级别的系统调用来决定是否应该为某个请求授予特权。比如当进程试图写入文件时,内核会检查
X Exiting due to DRV_AS_ROOT: The “docker“ driver should not be used with root privileges
热门推荐
t0m的专栏
09-25 1万+
[root@dev01 ~]# minikube start --driver=docker * minikube v1.13.0 on Centos 8.1.1911 * Using the docker driver based on user configuration * The "docker" driver should not be used with root privileges. * If you are running minikube within a VM, consider u.
Exiting due to DRV_AS_ROOT: The “docker“ driver should not be used with root privileges.
weixin_43087333的博客
08-25 3279
[root@zhangpeilei ~]# minikube start --driver=docker ???? minikube v1.22.0 on Centos 7.8.2003 (amd64) ✨ Using the docker driver based on user configuration ???? The "docker" driver should not be used with root privileges. ???? If you are running miniku
linux open c root权限,linuxea:docker容器程序不应该root用户身份运行
weixin_31238185的博客
04-30 516
容器进程不应以root身份运行,或者假设它们是root用户。正确的方式是使用已知的UID和GID在Dockerfile创建用户,并以此用户身份运行你的进程。通过限制对资源的访问,遵循此模式的映像更容易安全运行I. 概观精心设计的系统遵循最小特权原则。这简单地说明应用程序应该只能访问它所需的资源以执行其所需的功能。这在设计安全系统时至关重要。无论是恶意还是由于某些错误,进程可能会在运行时产生...
docker容器crontab无法正常运行解决方案
09-30
然而,将Crontab运行Docker容器可能会碰到一些特定的挑战,因为Docker的设计目标之一是创建最小化的运行环境,它可能不包括某些Crontab执行所需的标准Linux功能和配置。 从提供的内容,我们可以了解到Crontab...
如何给一个正在运行Docker容器动态添加Volume
09-30
在传统的认知,数据卷通常在创建容器的时候被指定,因为Docker容器本身是不可变的,所以传统操作不支持在容器运行后修改其配置。但是,通过特定方法,可以实现为正在运行容器添加数据卷。 描述强调,本文将...
Docker创建容器时目录权限踩坑
09-29
Docker容器是建立在宿主机的Linux内核之上,拥有自己的文件系统、进程空间和其他系统资源。每个容器都可以被看作是一个独立的运行环境。 在创建容器时,我们经常需要将宿主机的目录挂载到容器的目录,以便容器内...
docker服务端是否一定需要以root用户运行?_docker必须root启动么
最新发布
2301_77116622的博客
04-15 1154
本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。另外,本书还为读者提供了大量的Linux学习资料和Ubuntu安装镜像文件,供读者免费下载。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。
[docker-compose] docker生成文件是root权限,修改docker容器的用户
petrel2015的博客
04-26 9775
问题 springboot/docker生成的日志文件、上传的文件所有者是root,查看日志的话需要root才能看 上传的文件、生成的文件所有这也是root,其他用户在使用时会不方便 解决方法 docker-compose.yml文件加入user,和image同级 内容是希望使用的用户的id 可以通过命令 cat /etc/passwd |grep <user> 来查询 参考链接 https://docs.docker.com/compose/compose-file/compose-f
新版本 dockerroot 用户 无法使用 docker 报权限错误的问题
weixin_70472228的博客
05-19 449
而默认情况下,Unix socket属于root用户,需要root权限才能访问。sudo gpasswd -a $USER docker #将登陆用户加入到docker用户组。sudo systemctl restart docker # 重启docker。sudo groupadd docker #添加docker用户组。docker ps #测试docker命令是否可以使用sudo正常。正常 安装 docker 后 ,记得开启 docker 服务。按照 百度查到的 这么弄。
容器创建的文件在宿主机权限属于root ,而不是当前用户的问题解决方法.
u010797364的博客
11-04 6247
解决Docker以默认root用户运行生成的文件权限为root的问题: 以指定用户启动和进入docker容器 第一次用run创建并启动容器运行命令: docker run -it -u user_name --name container_name -d image_name /bin/bash 如果报错: docker: Error response from daemon: linux spec user: unable to find user xxxx: no matching entries
docker服务端是否一定需要以root用户运行
十年运维开发经验的王义杰在此分享自己的知识和经验
09-13 1601
Docker 默认是以root用户运行的,这主要是因为 Docker 需要进行一系列需要高权限的操作,例如操作系统级别的虚拟化(例如网络配置、进程空间隔离等)。然而,这样的设计确实引发了一些关于安全性的问题和讨论。
docker run 设置root_Docker 图形化工具:Portainer
weixin_29903043的博客
02-03 489
一.Docker图形化工具Docker图形页面管理工具常用的,DockerUI,Portainer,Shipyard。DockerUI是Portainer的前身,这三个工具通过docker api来获取管理的资源信息。平时我们常常对着shell对着这些命令行客户端,审美会很疲劳,如果有漂亮的图形化界面可以直观查看docker资源信息,也是非常方便的。今天我们就搭建单机版的某些常用图形页面...
docker容器安装配置GNOME桌面版centos
毛毛腿的博客
02-12 6746
1,首先docker下载centos7镜像 docker pull centos:7 2,启动镜像 指定两个端口映射5900和5901, –privileged=true 必写,获取root权限 docker run -d -p 5900:5900 -p 5901:5901 --name=&amp;quot;centos7&amp;quot; --privileged=true centos:7 /usr/sbin/init...
docker 镜像以 root 权限运行
shimly123456的博客
09-01 475
docker run -it --user=root --entrypoint=“” magma/dummy_fuzzer/libpng bash
禁止以 root 用户启动容器
fushan2012的博客
03-09 904
通过禁止以 root 用户启动容器,可以限制容器进程的可用权限,降低被容器恶意进程通过 root 权限入侵/破坏用户应用、主机甚至整个集群的风险
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mikes zhang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值