禁止以 root 用户启动容器

原创已于 2022-03-09 10:35:42 修改 · 1k 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#kubernetes #docker #容器

于 2022-03-09 10:29:06 首次发布

Kubernetes 专栏收录该内容

4 篇文章

订阅专栏

通过禁止容器以root用户启动，可以增强容器安全，防止恶意进程利用root权限威胁到用户应用、主机和集群。若必须使用root，可遵循示例在Dockerfile中创建非root用户并修改PodSpec配置runAsNonRoot为true。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

介绍

通过禁止以 root 用户启动容器，可以限制容器内进程的可用权限，降低被容器中恶意进程通过 root 权限入侵/破坏用户应用、主机甚至整个集群的风险。
如果确认当前工作负载确实需要以 root 用户启用容器的话，可以忽略此检查项。

修复办法

修改 Dockerfile 创建一个非 root 用户并通过 User 指令使用这个用户，同时修改工作负载的 Pod Spec 中的 securityContext 定义，增加 runAsNonRoot: true 配置

示例

# Dockerfile
RUN addgroup -S nonroot && adduser -u 65530 -S nonroot -G nonroot
USER 65530

# Pod Spec (container configuration)
securityContext:
  runAsNonRoot: true

参考文章

为 Pod 或容器配置安全性上下文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

fushan2012

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

容器运行时安全：如何限制容器内的root权限

操作系统内核探秘的博客

07-13

288

本文聚焦容器运行时（如Docker引擎、containerd）的安全核心问题——容器内root权限的失控风险。容器root权限的潜在威胁限制root权限的5种核心技术手段Docker/Kubernetes环境下的实战操作常见误区与解决方案本文从“生活化场景”切入，先解释容器root权限的本质，再拆解限制权限的技术原理，最后通过实战案例演示具体操作。核心概念：用“小区管理”类比容器权限风险分析：root权限为何是“双刃剑”？技术方案：5种限制root权限的方法（附代码）

容器安全 - 不要以root用户在容器内运行

锐意工作室

01-17

3736

文章目录容器安全 - 不要以root用户在容器内运行不要以root用户在容器内运行查看容器内运行的用户指定容器内运行的用户为什么不要以root用户在容器内运行安全原则安全假设安全风险参考文档容器安全 - 不要以root用户在容器内运行不要以root用户在容器内运行 As a best practice, run your containers as a non-root user (UID not 0). By default, containers run with root privileges

参与评论您还未登录，请先登录后发表或查看评论

非root运行docker容器

ggaofengg的专栏

01-28

1710

1、自己的容器，可以在dockerfile中处理一下2、第三方镜像，

Kubernetes SecurityContext 安全上下文 runAsUser以及阻止容器使用 root 户运行

小楼一夜听春雨，深巷明朝卖杏花

08-05

9696

配置节点的安全上下文除了让 pod 使用宿主节点的 Linux 命名空间，还可以在 pod 或其所属容器的描述中通过 security Context 边项配置其他与安全性相关的特性。这个选项可以运用于整个 pod ，或者每个 pod 中单独的容器。了解安全上下文中可以配置的内容，配置安全上下文可以允许你做很多事指定容器中运行进程的用户（用户ID ）。阻止容器使用 root 户运行（容器的默认运行用户通常在其镜像中指定，所以可能需要阻止容器 root 用户运行使用特权模式运行

为什么禁止root用户启动服务

qq_51574197的博客

10-15

546

为什么禁止root用户启动服务

德勤审计重点关注的linux文件命令 - 剩禁止容器root deqin审计

yuezhilangniao的博客

12-03

1121

第一他们关心权限控制网络控制第二他们会看linux以下文件 # 所谓的linux跑的命令 ################################################## echo '# cat /etc/shadow' >> deqin.log cat /etc/shadow >> deqin.log echo '# cat /etc/passwd' >> deqin.log cat /etc/passwd >> deqin.lo

docker容器进程以非root用户身份运行

weixin_44800629的博客

05-21

1173

但这可能会带来严重的安全问题。实际上，如果以root用户运行容器内部的进程，就是以root用户身份运行主机的进程。将在系统中添加一个名为 aifgw 的新用户，其家目录为 /home/aifgw，默认 shell 为 bash，并将其初始组设置为 root。2、通过修改基础镜像，/etc/resolv.conf 和 /etc/hosts，编译为容器后没有挂载成功，经过查询官方文档。为 /etc/resolv.conf 和 /etc/hosts外置挂载，无法通过dockerfile挂载到容器中。

【docker系列】容器有个bug-非root用户提权

编程不良人

06-18

827

本系列之前的文章中使用root用户安装docker，并在root用户下启动docker守护进程，容器也是在root用户下启动运行的。那么问题就出现了：我们的容器服务进程都是root用户权限，使用数据卷的方式想挂载哪个目录就挂载那个目录；想修改挂载目录下的哪个文件，就修改哪个文件。那么我们本文带大家使用非root用户来启动docker容器，是否就安全了呢？我们先不说答案，让我们一起来通过实验，来解答我们的疑问。为了提升安全性，我们考虑一种方案：使用非root用户启动docker容器。为此我们做一个实验，首

docker禁止使用 root 权限启动 Redis 服务；

最新发布

12-27

### 配置 Docker 以非 Root 用户权限启动 Redis 服务为了使 Redis 容器能够以非 root 用户身份运行，可以在 `docker-compose.yml` 文件中指定用户 ID 和组 ID 或者直接设置用户名。这可以通过调整容器的安全上下文...

设置Docker允许非root用户操作

kongxx的专栏

03-20

4288

以前写过一篇博客介绍过怎样允许非root用户来访问Docker，当时的方法是将用户加入的docker组里，这样做安全是安全了，但是实在是太麻烦了，对于我这种安全要求不太高的情况，实在是不合适。于是想能不能有啥办法一劳永逸的解决这个问题。你还别说，还真有办法，你们说神奇不。呵呵，就是这么神奇。解决办法就是修改 /var/run/docker.sock 文件的权限，让普通用户也可以访问。先查看一下...

docker 错误排查:无法进入容器.

weixin_34174422的博客

12-11

3565

docker 错误排查:无法进入容器. #docker exec -it 3c1d bash rpc error: code = 2 desc = oci runtime error: exec failed: container_linux.go:247: starting container process caused "process_linux.go:110: decoding init...

docker不进入容器执行命令

qq_50247813的博客

07-30

2875

1、dockerexec-it容器实例/bin/bash-c’命令’

Docker操作二之启动停止进入容器

renren_100的博客

11-17

745

<一>容器的使用 1，使用某个具体镜像启动一个容器的前前后后 **a，启动后进入容器命令格式： docker run -it centos:7 /bin/bash** [root@localhost ~]# [root@localhost ~]# docker ps CONTAINER ID IMAGE CO...

docker exec进不去容器的解决方法

qq_52121180的博客

03-25

2566

自定义docker镜像，在启动容器之后想通过docker exec进入容器内部出现报错信息。

Docker 容器使用docker -exec进不去

fox_233的博客

05-15

614

docker inspect containId |grep Pidcd /proc/Pid/root

Docker安全机制详解(容器资源限制)

ly2020_的博客

08-09

1589

1.Docker安全 Docker容器的安全性，很大程度上依赖于Linux系统自身，评估Docker的安全性时，主要考虑以下几个方面： Linux内核的命名空间机制提供的容器隔离安全当docker run启动一个容器时，Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。与虚拟机方式相比，通过Linux namespace来实现的隔离不是那么彻底。容器只是...

docker 容器的进入停止启动

yz18931904的博客

04-16

449

进入 Docker 容器进入容器：docker exec -it cef0d139bfd6 bash 其中 i 表示交互式的，也就是保持标准输入流打开； t 表示虚拟控制台，分配到一个虚拟控制台；退出容器：exit 客户机访问容器从客户机上访问容器，需要有端口映射，docker 容器默认采用桥接模式与宿主机通信，需要将宿主机的 ip 端口映射到容器的 ip 端口上；停止容器：docker stop 容器 ID/名称 ...

为什么 Docker 容器中的进程不应该以 root 身份运行

学海无涯苦作舟的博客

09-07

2071

Docker 容器中的进程不应以 root 身份运行。以您指定为 Dockerfile 的一部分或使用docker run. 这通过减少对容器中任何威胁的攻击面来最大限度地降低风险。在本文中，您将了解以 root 身份运行容器化应用程序的危险。您还将看到如何创建一个非 root 用户并在不可能的情况下设置命名空间。

2021年03月08日如何在使用docker时不使用sudo或root账号进行操作

zpczmc的博客

03-08

209

第一步，新建 docker用户组 sudo groupadd docker 第二步，把当前用户加入用户组，比如当前用户是xyhs 则输入 sudo usermod -aG docker xyhs 第三步，不用注销或重启使第二条命令生效，使用 newgrp docker 第四步，试试使用普通用户运行 $ docker run hello-world ...