禁止以 root 用户启动容器

已于 2022-03-09 10:35:42 修改
阅读量1k 收藏 2
点赞数
分类专栏: Kubernetes 文章标签: kubernetes docker 容器
于 2022-03-09 10:29:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fushan2012/article/details/123370880
版权

介绍

通过禁止以 root 用户启动容器,可以限制容器内进程的可用权限,降低被容器中恶意进程通过 root 权限入侵/破坏用户应用、主机甚至整个集群的风险。
如果确认当前工作负载确实需要以 root 用户启用容器的话,可以忽略此检查项。

修复办法

修改 Dockerfile 创建一个非 root 用户并通过 User 指令使用这个用户,同时修改工作负载的 Pod Spec 中的 securityContext 定义,增加 runAsNonRoot: true 配置

示例

# Dockerfile
RUN addgroup -S nonroot && adduser -u 65530 -S nonroot -G nonroot
USER 65530

# Pod Spec (container configuration)
securityContext:
  runAsNonRoot: true

参考文章

Docker - 6.设置SSH自动启动并使用root登录
周陽讀書
01-07 434
默认情况下,Docker容器没有启用SSH服务,并且使用root账户登录需要手动设置。
容器安全 - 不要以root用户容器内运行
锐意工作室
01-17 3695
文章目录容器安全 - 不要以root用户容器内运行不要以root用户容器内运行查看容器内运行的用户指定容器内运行的用户为什么不要以root用户容器内运行安全原则安全假设安全风险参考文档 容器安全 - 不要以root用户容器内运行 不要以root用户容器内运行 As a best practice, run your containers as a non-root user (UID not 0). By default, containers run with root privileges
root运行docker容器
ggaofengg的专栏
01-28 1662
1、自己的容器,可以在dockerfile中处理一下2、第三方镜像,
Kubernetes SecurityContext 安全上下文 runAsUser以及阻止容器使用 root 户运行
小楼一夜听春雨,深巷明朝卖杏花
08-05 9480
配置节点的安全上下文 除了让 pod 使用宿主节点的 Linux 命名空间,还可以在 pod 或其所属容器的描述中通过 security Context 边项配置其他与安全性相关的特性。这个选项可以运用于整个 pod ,或者每个 pod 中单独的容器。 了解安全上下文中可以配置的内容,配置安全上下文可以允许你做很多事 指定容器中运行进程的用户用户ID )。 阻止容器使用 root 户运行(容器的默认运行用户通常在其镜像中指定,所以可能需要阻止容器 root 用户运行 使用特权模式运行
为什么禁止root用户启动服务
qq_51574197的博客
10-15 532
为什么禁止root用户启动服务
德勤审计重点关注的linux文件命令 - 剩禁止容器root deqin审计
yuezhilangniao的博客
12-03 1111
第一他们关心权限控制 网络控制 第二 他们会看linux以下文件 # 所谓的linux跑的命令 ################################################## echo '# cat /etc/shadow' >> deqin.log cat /etc/shadow >> deqin.log echo '# cat /etc/passwd' >> deqin.log cat /etc/passwd >> deqin.lo
docker系列】容器有个bug-非root用户提权
编程不良人
06-18 816
本系列之前的文章中使用root用户安装docker,并在root用户启动docker守护进程,容器也是在root用户启动运行的。那么问题就出现了:我们的容器服务进程都是root用户权限,使用数据卷的方式想挂载哪个目录就挂载那个目录;想修改挂载目录下的哪个文件,就修改哪个文件。 那么我们本文带大家使用非root用户启动docker容器,是否就安全了呢? 我们先不说答案,让我们一起来通过实验,来解答我们的疑问。为了提升安全性,我们考虑一种方案:使用非root用户启动docker容器。为此我们做一个实验,首
使用Docker启动容器后自动关闭问题解决
qq_69331283的博客
06-15 815
权限不允许,因为虚拟机系统是centos7的版本,而Centos7的安全Selinux禁止了一些安全权限,导致挂载信息时出现权限不足。此处的容器id可能与上面的id不同,因为是后面来总结的,前面有些记录找不到了,就重新模拟了一遍~~在使用Docker创建并启动mysql容器时,发现mysql容器并没有启动而是自动关闭了。3.在selinux添加规则,修改挂载目录的特定权限。通过一下命令查看发现该容器确实尚未启动,状态为。通过查询容器日志发现如下问题。我是用第一种方法解决的~~~~2.关闭selinux。
国产化改造之容器迁移指导
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
04-28 1906
另外再回顾下底层这些东西,如上图所示,docker镜像层位于内核层之上,其中内核层中的AUFS,LXC,Bootfs(boot file system)一起为上层的镜像提供kernel内核支持;即信息技术应用创新的简称,涵盖了国产软件、国产芯片以及云计算等各个方向,也可以理解为常说的“ZZKK(自主可控)”, ZZKK是指对国内企事业单位应用系统中关键软硬件部件的安全性、可靠性、性能稳定性、安全接入等方面进行评估和测试的过程。基于此,docker镜像层+容器层,我们是可以提交成新镜像导出的;
设置Docker允许非root用户操作
kongxx的专栏
03-20 4277
以前写过一篇博客介绍过怎样允许非root用户来访问Docker,当时的方法是将用户加入的docker组里,这样做安全是安全了,但是实在是太麻烦了,对于我这种安全要求不太高的情况,实在是不合适。于是想能不能有啥办法一劳永逸的解决这个问题。你还别说,还真有办法,你们说神奇不。呵呵,就是这么神奇。 解决办法就是修改 /var/run/docker.sock 文件的权限,让普通用户也可以访问。 先查看一下...
docker 错误排查:无法进入容器.
weixin_34174422的博客
12-11 3559
docker 错误排查:无法进入容器. #docker exec -it 3c1d bash rpc error: code = 2 desc = oci runtime error: exec failed: container_linux.go:247: starting container process caused "process_linux.go:110: decoding init...
docker不进入容器执行命令
qq_50247813的博客
07-30 2835
1、dockerexec-it容器实例/bin/bash-c’命令’
Docker操作二 之 启动 停止 进入容器
renren_100的博客
11-17 737
<一>容器的使用 1,使用某个具体镜像启动一个容器的前前后后 **a,启动后进入容器 命令格式: docker run -it centos:7 /bin/bash** [root@localhost ~]# [root@localhost ~]# docker ps CONTAINER ID IMAGE CO...
docker exec进不去容器的解决方法
qq_52121180的博客
03-25 2279
自定义docker镜像,在启动容器之后想通过docker exec进入容器内部出现报错信息。
Docker安全机制详解(容器资源限制)
ly2020_的博客
08-09 1552
1.Docker安全 Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全 当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。 与虚拟机方式相比,通过Linux namespace来实现的隔离不是那么彻底。 容器只是...
docker 容器的进入 停止 启动
yz18931904的博客
04-16 435
进入 Docker 容器 进入容器docker exec -it cef0d139bfd6 bash 其中 i 表示交互式的,也就是保持标准输入流打开; t 表示虚拟控制台,分配到一个虚拟控制台; 退出容器:exit 客户机访问容器 从客户机上访问容器,需要有端口映射,docker 容器默认采用桥接模 式与宿主机通信,需要将宿主机的 ip 端口映射到容器的 ip 端口上; 停止容器docker stop 容器 ID/名称 ...
为什么 Docker 容器中的进程不应该以 root 身份运行
学海无涯苦作舟的博客
09-07 2019
Docker 容器中的进程不应以 root 身份运行。以您指定为 Dockerfile 的一部分或使用docker run. 这通过减少对容器中任何威胁的攻击面来最大限度地降低风险。在本文中,您将了解以 root 身份运行容器化应用程序的危险。您还将看到如何创建一个非 root 用户并在不可能的情况下设置命名空间。
2021年03月08日 如何在使用docker时不使用sudo或root账号进行操作
zpczmc的博客
03-08 199
第一步,新建 docker用户组 sudo groupadd docker 第二步,把当前用户加入用户组,比如当前用户是xyhs 则输入 sudo usermod -aG docker xyhs 第三步,不用注销或重启使第二条命令生效,使用 newgrp docker 第四步,试试使用普通用户运行 $ docker run hello-world ...
k8s 容器内操作报Permission defined,以root运行容器,定义Pod的特权和访问控制权限
热门推荐
qq_32352777的博客
05-10 1万+
目录 前言 查阅官方文档,找答案 解决方案 前言 当我们通过Pods、Daemon Sets、Deployments等方式运行pod时,大部分镜像容器默认是无特权的运行,独立用户运行的,以elastic/filebeat为例,查看用户用户组: 可以看到默认是使用uid=1000的filebeat用户,当我们想在容器中创建文件、或者修改文件就会提示Permission defined,如下图所示: 我们可以看到filebeat用户没有写的权限,如果要解决这个问题我们可以通过
启动并配置MariaDB
最新发布
04-19
<think>好的,用户想查找关于启动和配置MariaDB的指南或教程,具体询问如何启动并配置MariaDB。首先,我需要综合之前提供的引用内容来整理步骤。 根据引用3,安装MariaDB需要使用yum命令,而引用4提到用apt-get安装,这可能涉及不同系统环境,比如CentOS和Ubuntu。所以需要分情况说明安装步骤。启动服务的话,引用2和3都提到了systemctl命令,包括启动服务和设置开机自启。 配置部分,引用3提到修改监听地址为127.0.0.1,可能需要编辑配置文件,如/etc/my.cnf或/etc/mysql/mariadb.conf.d/50-server.cnf,具体路径可能因系统而异。另外,安全设置方面,运行mysql_secure_installation是关键步骤,这点在引用3中有提到。 用户可能需要详细的步骤,包括安装、启动、配置监听地址、安全设置以及基本操作。需要确保命令准确,并提醒用户注意系统差异,比如包管理工具的不同。同时,引用中的例子需要正确标注来源,比如启动命令和配置修改部分对应的引用编号。 另外,用户的问题可能涉及不同操作系统,需要明确说明不同环境的处理方法。比如,在CentOS中使用yum安装,而Ubuntu/Debian使用apt-get。同时,配置文件的路径可能不同,需要给出常见的位置,并建议用户根据实际情况查找。 最后,生成相关问题时要涵盖安装、配置优化、常见问题、安全措施以及容器部署等方面,这样用户可以有进一步了解的途径。确保每个步骤都清晰,并引用正确的来源,避免混淆。</think>### 如何启动并配置MariaDB? #### 一、安装MariaDB 1. **Linux系统(CentOS/RHEL)** ```bash yum -y install mariadb mariadb-server # 安装服务端与客户端[^3] ``` 2. **Ubuntu/Debian系统** ```bash sudo apt-get install mariadb-server # 安装MariaDB服务[^4] ``` --- #### 二、启动与自启配置 1. **启动MariaDB服务** ```bash systemctl start mariadb # 启动服务[^2][^3] ``` 2. **设置开机自启** ```bash systemctl enable mariadb # 启用自启动[^2][^3] ``` 3. **验证服务状态** ```bash systemctl status mariadb # 查看运行状态[^3][^4] ``` --- #### 三、基础安全配置 1. **运行安全脚本** ```bash /usr/bin/mysql_secure_installation # 设置root密码、删除匿名用户等[^3] ``` 按提示操作: - 设置root密码 - 移除匿名用户 - 禁止远程root登录 - 删除测试数据库 2. **登录数据库** ```bash mysql -u root -p # 输入密码后进入MySQL命令行 ``` --- #### 四、修改监听地址(可选) 1. **编辑配置文件** ```bash vim /etc/my.cnf # 或 /etc/mysql/mariadb.conf.d/50-server.cnf(Ubuntu)[^3] ``` 2. **添加/修改以下内容** ```ini [mysqld] bind-address = 127.0.0.1 # 仅允许本地连接 ``` 3. **重启服务生效** ```bash systemctl restart mariadb ``` --- #### 五、容器化部署(Docker) 1. **拉取镜像并运行** ```bash docker run --name my-mariadb -e MYSQL_ROOT_PASSWORD=your_password -d mariadb[^1] ``` - `--name`: 容器名称 - `-e MYSQL_ROOT_PASSWORD`: 设置root密码 - `-d`: 后台运行 --- #### 六、验证安装 ```bash mysql -V # 输出类似:mysql Ver 15.1 Distrib 5.5.68-MariaDB ``` --- ### 配置优化建议 - 调整`my.cnf`中的`innodb_buffer_pool_size`提升性能 - 定期备份数据库(使用`mysqldump`或工具) - 配置防火墙规则限制数据库端口(默认3306)访问
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值