Docker 守护进程配置之限制容器获取新的权限

最新推荐文章于 2022-10-23 19:59:13 发布
最新推荐文章于 2022-10-23 19:59:13 发布
阅读量1.5k 收藏
点赞数
分类专栏: Docker 文章标签: Docker 容器 高级 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhichunqi/article/details/103586083
版权

描述

默认情况下,限制容器通过 suid 或 sgid 位获取附加权限。

安全出发点

一个进程可以在内核设置 no_new_priv。它支持 fork,clone 和 execve。no_new_priv 确保进程或者其子进程不会通过 suid 或 sgid
位获得任何其他特权。这样,很多危险的操作就降低安全风险。在守护进程级别进行设置可确保默认情况下,所有新容器不能获取新的权限。

审计方法

ps -ef | grep dockerd

结果判定

确保 --no-new-privileges 参数存在且未设置为 false。

修复措施

运行 Docker 守护进程使用如下命令:

dockerd --no-new-privileges

影响

no_new_priv 会阻止像 SELinux 这样的 LSM 访问当前进程的进程标签。

默认值

新容器不会获得新的权限。
chunqi zhi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker容器镜像安全最佳实践指南
WeiyiGeek 唯一极客IT知识分享
03-10 4047
文章目录:0x02 Docker 容器安全最佳实践1.主机安全配置1.1 更docker到最版本1.2 为容器创建一个单独的分区1.3 只有受信任的用户才能控制docker守护进程1.4 审计docker守护进程1.5 审计docker相关的文件和目录2.docker守护进程配置2.1 限制默认网桥上容器之间的网络流量2.2 设置日志级别为info2.3 允许 doc...
浅谈Docker 客户端和守护进程
09-30
Docker客户端是用户最常接触的部分,通过命令行界面(CLI)接收用户输入的命令,然后将这些命令发送到Docker守护进程进行处理。 Docker 守护进程Docker Daemon)是Docker的核心组件,它在后台运行并管理所有容器...
vscode 设置问题
Loong Cheng的博客
02-02 1100
pycharm编辑tensorflow和tensorrt出错, ImportError: libcublas.so.10.0: cannot open shared object file: No such file or directory 各种方法解决不了。pyjuter用不习惯,只能用vscode。 只记录设置。 目录 python环境 设置中文 设置字体 解决Ubunt...
docker 容器权限设置
myli92的博客
10-23 7387
Dcoker容器在使用的过程中,默认的docker run时都是以普通方式启动的,有的时候是需要使用在容器中使用iptables进行启动的,这时候就需要开启权限,只需要在docker run时增加参数默认run容器的情况下,查看iptables都是不允许的:iptables -nL有的时候,我们有需求进行网络设置,即入站、出站网络端口设置,我们可以在启动容器的时候增加相应的权限
linux刚安装时遇到的sudo权限错误问题
fatetogate的博客
05-10 1054
1.出现问题 2.解决方法 1)切换root用户并进入/etc/sudoers su vim /etc/sudoers 2)找到root那一行,在下面一行仿照最后一行的格式,第一个参数改为要改权限的那个用户名字 :
centos系统安装edgeX报错invalid --security-opt 2: “no-new-privileges:true“解决办法
zswheart的博客
03-18 1732
虚拟机里安装centos7.5系统安装2.x版本的edgexfoundry时报错invalid --security-opt 2: "no-new-privileges:true" 经过查看edgex的docker-compose.yml文件,有该项配置 经查询secutity_opt是为每个容器覆盖默认的标签。简单说来就是管理全部服务的标签,其实楼主也是涉及docker不久,看的云里雾里,经过摸索了两三天,发现解决办法有两个: 1.简单粗暴,将每个服务的该项全部注释掉,对服务没有什么大的影.
十大 Docker 强化最佳实践
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
07-18 682
随着许多公司在其基础设施中采用Docker,威胁参与者的攻击面也增加了。这就需要保护Docker基础设施。在本文中,提到了一些可以加强Docker容器安全性的要点。熟悉Linux命令行关于容器化和Docker的基本概念Docker是一个开源容器化平台。它允许开发人员将应用程序打包到容器中标准化的可执行组件将应用程序源代码与在运行该代码所需的操作系统(OS)库和依赖项相结合。...
如何理解进程的 no_new_privs 属性?
龙瑜的博客
08-12 1139
在阅读 seccomp manual 的时候了解到进程的 no_new_privs 属性,man 了一下 prctl 发现帮助文档中的描述很难理解,于是通过一些例子研究了下,摸着些头脑,在本文中记录一下。
解锁Docker之门:破解容器连接守护进程的迷雾
最新发布
07-01
Docker 是一个开源的容器化平台,它允许开发者将应用及其依赖打包到一个轻量级、可移植的容器中,然后可以在任何支持Docker的机器上运行这个容器Docker 使用 Linux 容器(LXC)技术,但提供了比传统容器更加易用的...
docker-transmission:传输守护进程Docker容器
06-20
传输守护进程Docker容器 应用容器,别忘了指定transmission账号密码和下载本地目录: docker run -d --name transmission \ -p 12345:12345 -p 12345:12345/udp -p 127.0.0.1:9091:9091 \ -e ADMIN_PASS=...
Docker启用TLS实现安全配置的步骤
09-29
保存配置更改后,重启Docker守护进程以应用的TLS设置。在大多数系统上,可以使用以下命令: ```bash sudo systemctl restart docker ``` 5. **客户端配置** 要从客户端连接到启用了TLS的Docker守护进程,...
Docker如何限制容器可用的内存
09-30
在Linux系统中,内存不足(Out Of Memory,简称OOM)的情况可能导致内核杀死进程以释放内存,甚至可能影响到Docker守护进程,从而中断所有容器的运行。 Docker提供了设置内存限制的选项,以防止这种情况发生。通过`...
Linux Capabilities 入门教程:基础实战篇
云原生实验室
11-05 2208
该系列文章总共分为三篇: Linux Capabilities 入门教程:概念篇 Linux Capabilities 入门教程:基础实战篇 待续... 上篇文章介绍了 Linux capabilities 的诞生背景和基本原理,本文将会通过具体的示例来展示如何查看和设置文件的 capabilities。 Linux 系统中主要提供了两种工具来管理 capabilities:libcap ...
继续折腾 NanoPC-T4之 私有云部署
bywayboy的专栏
05-10 1774
前言 自从360 等各大云盘开始收费, 莆田系各种恶心限速以来,一直想搭建一个自己的私有云服务器。以满足手机/PC等个机器之间的文件同步(中间用GIT替代过一段时间). 虽然强大 但各种不方便。在尝试了 seafile、owncloud等后,发现这些东东都不能满足在树莓派嵌入式单板机器上的使用要求。于是转而寻求一个适合嵌入式机器使用的私有云软件。syncthing 出现了。 经过一段时间的折腾测试...
docker: error while loading shared libraries: libltdl.so.7: cannot open shared object file: No such
chunqizhi
10-20 4238
在当前镜像的基础上安装 libltdl7 即可解决问题 RUN apt-get update && apt-get install -y libltdl7
docker守护进程
07-27
Docker守护进程Docker引擎的核心组件之一,负责管理和监控Docker容器的运行。它在后台运行,并负责处理Docker客户端发出的命令。 守护进程的主要功能包括: 1. 监听Docker API请求:守护进程通过监听Docker API的请求来接收来自Docker客户端的命令,例如创建、启动或停止容器等操作。 2. 管理容器生命周期:守护进程负责创建、启动、停止和销毁容器,并确保容器按照定义的方式运行。 3. 监控容器状态:守护进程会持续监控容器的状态,包括运行状态、资源使用情况等,并在需要时采取相应的行动。 4. 处理日志和事件:守护进程负责收集和处理容器的日志信息,并将其输出到指定的位置,以便进行监控和故障排查。 总之,Docker守护进程Docker引擎的核心部分,负责管理和监控容器的运行,使得用户可以方便地使用和管理Docker容器

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值