docker学习之3个重要权限

最新推荐文章于 2024-04-22 08:40:48 发布
最新推荐文章于 2024-04-22 08:40:48 发布
阅读量3k 收藏 3
点赞数 1
分类专栏: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangshihuz/article/details/104460665
版权

概述:通过使用docker pull下来的应用,都会发现系统进去后很多操作都无法实现,其实这个里面是会涉及到3个权限的问题

  • 好处就是安全性
  • 坏处就是操作不便

privileged参数

root权限和普通权限

  • 默认正常不带privileged参数启动容器只有root的普通权限

在这里插入图片描述

--privileged=false         Give extended privileges to this container

启动

docker run -itd --privileged=true centos:7.6.1810

init和Systemd脚本
在这里插入图片描述
服务操作命令:

  • 6的版本:service,对应就是 /usr/sbin/init 1号进程管理
  • 7的版本:systemctl ,对应就是 /usr/lib/systemd/system 1号进程管理

容器里重启服务提示Failed to get D-Bus connection: Operation not permitted
在这里插入图片描述
启动

docker run -itd --privileged=true centos:7.6.1810 /usr/sbin/init

默认centos:7.6.1810后面不加参数就是/bin/bash

注意这里我系统是7的版本但是我使用的6的启动方式,其实系统默认已经做了软链接
在这里插入图片描述

详细关于init和Systemd参考:点击访问

Docker资源管理(cgroup)

  • Cgroups是Linux内核提供的一种可以限制、记录、隔离进程组(processgroups)所使用的物理资源(如:CPU、内存、IO等)的机制
  • 默认没有指定参数,资源无限使用
  • 容器启动后默认会在宿主/sys/fs/cgroup/cpu/docker创建文件来做接口对接
  • 特殊的一些应用服务需要依赖宿主机文件

有时出现自己安装新的服务发现启动的时候会提示失败,systemctl status 服务
New main PID 558 does not belong to service, and PID file is not owned by root. Refusing

启动

挂载宿主机cgroup目录,启动时加上-v /sys/fs/cgroup:/sys/fs/cgroup

docker run -itd --privileged=true -v /sys/fs/cgroup:/sys/fs/cgroup \
 centos:7.6.1810 /usr/sbin/init

详细关于cgroup:点击访问

总结:其实可以利用前2个权限来管理容器的运行级别,防止别人恶意破坏,前提是运行的程序无需后续配置管理

Y。S。H。
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dockerroot用户权限运行
zkgoup的博客
02-19 2768
运行dokcer命令时需要使用sudo权限,如果想要不是用sudo运行docker命令,可参考官网教程: https://docs.docker.com/engine/install/linux-postinstall/ 搬运如下! Manage Docker as a non-root user The Docker daemon binds to a Unix socket instead of a TCP port. By default that Unix socket is owned b
Docker数据存储之tmpfs mounts详解
09-30
Docker数据存储的世界里,tmpfs mounts是一个特殊的数据持久化方法,它的主要特点是将数据存储在宿主机的内存中,而非磁盘上。这种方式提供了快速的读写速度,但牺牲了数据的持久性,因为当容器停止时,内存中的...
Docker学习文档,全面介绍Docker技术
08-31
这份Docker学习文档是一份全面介绍Docker技术的文档,内容包括了Docker的基本概念、使用方法和常见问题解决方案,以及Docker在开发、部署和管理中的应用。 该文档首先介绍了Docker的基本概念和原理,包括容器、镜像、仓库等概念,以及Docker的优势和应用场景。接着,详细讲解了Docker的安装和配置方法,包括如何下载和安装Docker引擎、如何创建和管理容器等。 在学习Docker的过程中,读者可以深入了解Docker的核心组件和命令行工具,包括Dockerfile、docker rundocker ps等常用命令的使用和配置方法。同时,还介绍了如何使用Docker进行应用程序的构建、打包和发布,以及如何使用Docker进行持续集成和持续交付等方面的内容。 最后,该文档还介绍了Docker的安全性和最佳实践,包括如何保护容器的安全、如何处理容器故障等方面的内容。通过学习这份文档,读者可以全面掌握Docker技术的应用方法和技巧,提高自己在云计算领域的技术水平。
解决vsftpd的refusing to run with writable root inside chroot错误
weixin_30275415的博客
04-28 173
升级vsftpd或者vsftpd-ext后,登录时可能会出现这样的错误: 500 OOPS: vsftpd: refusing to run with writable root inside chroot () 这是由于下面的更新造成的: Add stronger checks for the configuration error of running with a writ...
docker容器权限设置--cap-add | --cap-drop | privileged
最新发布
更多内容查看博客描述。
04-22 1079
1.privileged,权限全开,不利于宿主机安全2.cap-add/cap-drop,细粒度权限设置,需要什么开什么。
UE4升级4.20引擎修改
luomogenhaoqi的专栏
12-26 3234
我的知乎链接:https://zhuanlan.zhihu.com/p/43314125 1、 bool FOnlineSubsystemSteam::Init() { bool bRelaunchInSteam = false; int RelaunchAppId = 0; ConfigureSteamInitDevOptions(bRelaunchInSteam, Relaunch...
关于在ubuntu下,ftp服务器连接错误,vsftpd: refusing to run with writable root inside chroot
u013014606的博客
04-29 464
报上面的错,经过各种查询资料才知道,vsftpd从2.3.5版本开始,chroot目录必须不可写,所以才报这样的错误。 修改方法是:chmod a-w /home/test test是ftp创建的用户目录。 运行后,连接成功。·
docker run:--privileged=true选项解析(特权模式:赋予容器几乎与主机相同的权限
热门推荐
Dontla的博客
09-18 2万+
在默认情况下,Docker对容器的权限进行了严格的限制,只提供了有限的capabilities。因此,我们需要谨慎地使用这个选项,只在必要的情况下才启用它,并尽量使用其他更细粒度的权限控制手段。选项为容器提供了强大的功能,但它也带来了一些严重的安全隐患。由于privileged容器具有几乎与主机相同的权限,所以如果容器被恶意代码控制,那么攻击者就可以轻易地突破容器的边界,对主机进行任意操作。Docker默认情况下会赋予容器一些必要的capabilities,但不包括全部的能力,从而降低了被攻击的风险。
Linux服务器运行sh文件提示权限不够解决方法?飞腾服务器Permission denied问题授权方法
小蓝枣的博客
05-20 8233
Linux服务器运行sh文件提示权限不够解决方法?飞腾服务器Permission denied问题授权方法。 权限不够解决办法, 通过 chmod -R +x ../bin 命令重新进一次该文件夹就好了就好了,bin 就代表当前文件夹。 然后又发现了 Permission denied 问题。 通过 ll 命令可以看到大多数文件名都是白色的,这就表示没有授权,使用授权语句 chmod -R 755 * 来对该目录进行授权。 授权完变成绿色就能用了,然后再执行那个语句就不会报错了。
docker安装jenkins
GSON的博客
03-06 404
第一步、搜索可用镜像 建议使用的Docker映像是jenkinsci/blueoceanimage(来自 theDocker Hub repository)。 该镜像包含当前的长期支持 (LTS) 的Jenkins版本(可以投入使用) jenkins官方文档地址https://www.jenkins.io/zh/doc/book/installing/ 我们在Docker Hub找到改镜像 第二步、拉取镜像 docker pull jenkinsci/blueocean 该镜像里面...
Docker教程合集.pdf
09-03
Docker教程合集】 ...学习 Docker 可以提升开发和运维的效率,降低运营成本,是现代 IT 环境中的必备技能之一。理解 Docker 的工作原理和最佳实践,对于构建可扩展、可靠和高效的 IT 基础架构至关重要
docker安装elk6.7.1-搜集java日志
07-09
这步骤非常重要,因为 Elasticsearch 需要至少 262144 的内存权限。 二、安装 Elasticsearch 下一步,我们将安装 Elasticsearch。首先,上传相关的压缩包到/data目录: ``` [root@localhost ~]# cd /data/ [root@...
Docker Compose version v2.12.2
09-28
Docker Compose是Docker公司推出的一个用于定义和运行多容器Docker应用的工具,它通过YAML文件来配置服务,然后使用一个命令就可以启动和管理整个应用。Docker Compose v2.12.2是这个工具的一个版本更新,带来了多项...
保管库:Vault集群已构建在Docker上,极大的乐趣和学习
02-04
【保管库:Vault集群已构建在Docker上,极大的乐趣和学习!】 在这个项目中,我们探讨了如何使用Docker来搭建一个HashiCorp Vault集群,这是一个强大的安全工具,用于管理和保护敏感数据如API密钥、数据库密码和...
vsftpd 报错refusing to run with writable root inside chroot
tajon1226的专栏
09-05 8608
1、响应: 500 OOPS: vsftpd: refusing to run with writable root inside chroot() 错误: 严重错误: 无法连接到服务器 解决方案:ftp武器根目录必须是755,不能是777权限 而且用户属主必须是root sudo chmod 755 /var/ftp sudo chown root:root /var/...
FTP报错:500 OOPS: vsftpd: refusing to run with writable root inside chroot()
国庆的博客
05-10 2609
此报错是由于新版本的vsftp针对用户安全性进行了升级使,用户被锁定的 chroot 目录不可写,防止安全漏洞。但发现修改后,仍然报错,所以采取了不得已的一种方法,那就是重新修改根目录所有文件的权限。也多由于用户直接对大量目录直接赋权,网上教程较多。多为修改vsftpd.conf文件。(2)增加网站根目录(/var/www)和数据库文件夹(/var/lib)777权限。,因为修改后意味着,后面要重新对所有文件夹更改读写权限,以便访问。
docker 学习3
yulang1992514的博客
03-02 4884
1.docker镜像 镜像 是一种轻量级、可执行的独立软件包,它包含运行某个软件所需的所有内容,我们把应用程序和配置依赖打包好形成一个可交付的运行环境(包括代码、运行时需要的库、环境变量和配置文件等),这个打包好的运行环境就是image镜像文件。 只有通过这个镜像文件才能生成Docker容器实例(类似Java中new出来一个对象)。 在下载的过程中我们可以看到docker的镜像好像是在一层一层的在下载,docker的镜像实际上由一层一层的文件系统组成,这种层级的文件系统UnionFS。 ..
500 OOPS: vsftpd: refusing to run with writable root inside chroot() 错误的解决方式
striner的博客
11-30 1万+
之前在centOS7上搭建好了ftp服务器,然而在用windows的cmd远程登录ftp服务器时却报了一下错误: 网上说什么的都有,最后在/etc/vsftpd/vsftpd.conf配置文件中添加了以下两句终于解决了问题。 chroot_local_user=YES ## 原本就有,取掉注释就好 allow_writeable_chroot=YES ## 添加 修改后重启ftp...
500 OOPS: vsftpd: refusing to run with writable anonymous root解决方法
hijk7的博客
10-01 132
500 OOPS: vsftpd: refusing to run with writable anonymous root解决方法

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值