在Docker容器中使用iptables时的最小权限的开启方法

/****************************************
* Author : Samson
* Date : 02/25/2016
* Test platform:
* gcc 4.8.4
* GNU bash, 4.3.30
* Linux Mint 17
* **************************************/


Dcoker容器在使用的过程中,有的时候是需要使用在容器中使用iptables进行启动的,默认的docker run时都是以普通方式启动的,没有使用iptables的权限,那么怎样才能在容器中使用iptables呢?要如何开启权限呢?

那么在docker进行run的时候如何将此容器的权限进行配置呢?主要是使用--privileged或--cap-add、--cap-drop来对容器本身的能力的开放或限制。以下将举例来进行说明:

例如:
有一个image为aaa的将启动为容器名为bbb的且在容器内需要使用iptables功能,可以使用--privileged=true来进行开启,如:
~$ docker run --privileged=true -d -p 4489:4489/tcp  --name bbb aaa

执行以上的命令后,可以进入容器中进行iptables的配置:
~$ docker exec -it cg_openvpn /bin/bash
~#iptables -A INPUT -s 192.168.1.156 -j DROP
/# iptables -nvL                             
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       192.168.1.156        0.0.0.0/0

但是这样的话就将系统的所有能力都开放给了docker容器,这是一种对宿主机非常不安全的做法,例如:可以直接对宿主机中的设备等进行操作。对于iptables需要的权限进行开放,而对于其它的权限不予开放,那么在启动docker的时候使用如下的命令参数进行限制权限的过度开放:
~$ docker run--cap-add NET_ADMIN --cap-add NET_RAW -d -p 4489:4489/tcp  --name bbb aaa

REF:

发布了275 篇原创文章 · 获赞 122 · 访问量 142万+
展开阅读全文

Dockerfile权限问题

07-04

参考这篇博客[Running GUI apps with Docker](http://fabiorehm.com/blog/2014/09/11/running-gui-apps-with-docker/),试图使用dockerfile构建一个可以运行一个编译安装的gui程序,执行到`RUN chmod +x configure`时报错 ``` chmod: cannot access 'configure': Permission denied ``` Dockerfile文件如下 ``` FROM ubuntu:14.04 ENV DEBIAN_FRONTEND noninteractive RUN cp /etc/apt/sources.list /etc/apt/sources.list.bak RUN sed -i s:/archive.ubuntu.com:/mirrors.aliyun.com/ubuntu:g /etc/apt/sources.list RUN cat /etc/apt/sources.list RUN apt-get clean RUN apt-get update --fix-missing RUN apt-get install -y --no-install-recommends --allow-unauthenticated \ freeglut3-dev libplib-dev libopenal-dev libalut-dev \ libvorbis-dev libxi-dev libxmu-dev libxrender-dev libxrandr-dev \ libxrandr-dev build-essential libpng-dev libopencv-dev \ && apt-get autoclean \ && apt-get autoremove \ && rm -rf /var/lib/apt/lists/* RUN export uid=1000 gid=1000 && \ mkdir -p /home/developer && \ echo "developer:x:${uid}:${gid}:Developer,,,:/home/developer:/bin/bash" >> /etc/passwd && \ echo "developer:x:${uid}:" >> /etc/group && \ echo "developer ALL=(ALL) NOPASSWD: ALL" > /etc/sudoers.d/developer && \ chmod 0440 /etc/sudoers.d/developer && \ chown ${uid}:${gid} -R /home/developer USER developer ADD image / WORKDIR /home/developer/project/src/torcs RUN chmod +x configure RUN ./configure --prefix=/home/developer/project/install -enable-debug --enable-profiler RUN make RUN make install RUN make datainstall ENV HOME /home/developer CMD /home/developer/project/install/bin/torcs ``` 问答

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 编程工作室 设计师: CSDN官方博客

分享到微信朋友圈

×

扫一扫,手机浏览