docker 容器的权限设置

最新推荐文章于 2025-06-20 16:08:35 发布
最新推荐文章于 2025-06-20 16:08:35 发布
阅读量8.7k 收藏 7
点赞数
CC 4.0 BY-SA版权
分类专栏: docker 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/myli92/article/details/127479212

1.Docker设置

Dcoker容器在使用的过程中,默认的docker run时都是以普通方式启动的,有的时候是需要使用在容器中使用iptables进行启动的,这时候就需要开启权限,只需要在docker run时增加参数

--cap-add list                   Add Linux capabilities # 添加某些权限
--cap-drop list                  Drop Linux capabilities # 关闭权限
--privileged                     Give extended privileges to this container # default false 
  
pprivileged,权限全开,不利于宿主机安全
cap-add/cap-drop,细粒度权限设置,需要什么开什么

默认run容器的情况下,查看iptables都是不允许的:iptables -nL

 有的时候,我们有需求进行网络设置,即入站、出站网络端口设置,我们可以在启动容器的时候增加相应的权限。

docker run --name=docker_nginx --cap-add NET_ADMIN -d docker_nginx

  • 1.privileged,权限全开,不利于宿主机安全
  • 2.cap-add/cap-drop,细粒度权限设置,需要什么开什么

cap-add 参数设置:

CHOWN:修改文件属主的权限

DAC_OVERRIDE:忽略文件的DAC访问限制

DAC_READ_SEARCH:忽略文件读及目录搜索的DAC访问限制

FOWNER:忽略文件属主ID必须和进程用户ID相匹配的限制

FSETID:允许设置文件的setuid位

KILL:允许对不属于自己的进程发送信号

SETGID:允许改变进程的组ID

SETUID:允许改变进程的用户ID

SETPCAP:允许向其他进程转移能力以及删除其他进程的能力

LINUX_IMMUTABLE:允许修改文件的IMMUTABLE和APPEND属性标志

NET_BIND_SERVICE:允许绑定到小于1024的端口

NET_BROADCAST:允许网络广播和多播访问

NET_ADMIN:允许执行网络管理任务

NET_RAW:允许使用原始套接字

IPC_LOCK:允许锁定共享内存片段

IPC_OWNER:忽略IPC所有权检查

SYS_MODULE:允许插入和删除内核模块

SYS_RAWIO:允许直接访问/devport,/dev/mem,/dev/kmem及原始块设备

SYS_CHROOT:允许使用chroot()系统调用

SYS_PTRACE:允许跟踪任何进程

SYS_PACCT:允许执行进程的BSD式审计

SYS_ADMIN:允许执行系统管理任务,如加载或卸载文件系统、设置磁盘配额等

SYS_BOOT:允许重新启动系统

SYS_NICE:允许提升优先级及设置其他进程的优先级

SYS_RESOURCE:忽略资源限制

SYS_TIME:允许改变系统时钟

SYS_TTY_CONFIG:允许配置TTY设备

MKNOD:允许使用mknod()系统调用

LEASE:允许修改文件锁的FL_LEASE标志

2.docker-compose的设置 

containers:
      - name: snake
        image: docker.io/kelysa/snake:lastest
        imagePullPolicy: Always
        securityContext:
          privileged: true
          capabilities:
            add: ["NET_ADMIN","NET_RAW"]

参考:

docker容器权限设置--cap-add | --cap-drop | privileged - Marathon-Davis - 博客园

Docker容器Docker容器中的权限管理
jks212454的博客
08-17 1752
Docker容器Docker容器中的权限管理
docker容器中切换用户,提示权限不足的解决
01-20
docker容器中切换用户,提示权限不足: 解决办法: 启动容器是使用特权启动: docker run -i -t –privileged -v /home/dora:/home/dora centos_ora /bin/bash 补充知识:linux下docker使用普通权限运行 linux下...
docker容器权限设置--cap-add | --cap-drop | privileged
HCIE 数通、RHCE、HCIP 欧拉、MySQL OCP 持证工程师。
04-22 3883
1.privileged,权限全开,不利于宿主机安全2.cap-add/cap-drop,细粒度权限设置,需要什么开什么。
Ubuntu 解决 Docker 权限问题终极指南
最新发布
qq_45464126的博客
06-20 572
使用 sudo usermod -aG docker $USER将你的普通用户加入docker组,然后注销并重新登录。这是官方推荐的标准做法,平衡了便利性和安全性。如果只是偶尔运行命令或调试,可以使用 sudo docker ...。不要修改的权限为 666。这会严重降低系统安全性。
Docker容器权限不足,如何配置权限
4G/5G随身WiFi专业DIY改装
09-11 7046
Docker 容器报告权限不足时,可能是由于容器内部的用户与主机操作系统的用户不匹配导致的。解决这个问题的一种常见方法是在容器内部设置适当的用户和权限。以下是几种配置容器权限的方法:在 Dockerfile 中配置用户和权限:你可以在 Dockerfile 中使用 USER 和 RUN 命令来配置容器内的用户和权限。例...
Docker容器权限问题
weixin_43936332的博客
06-03 3904
我们在Docker的使用过程中,常常面临一种困扰,即进入Docker容器后,很多命令都没有权限执行,如下所示:从上图中可以看出,尽管我们的Docker容器显示自己的身份是root,但是依旧有很多命令我们无法执行。下面,我就来给大家提供一下这种问题的解决方法。
docker容器设置权限
笑笑布丁的博客
01-13 4279
背景 如果默认运行容器的话,容器的默认权限会是root级别,这会带来很多不稳定的因素,例如容器可能修改一些只有root用户能修改的东西,假如使用nobody的话,又会造成容器想写入一些普通文件,会因为没有权限而被宿主主机拒绝. 怎样设置权限呢? 我采用的是docker-compose 设置 .env 文件实现 首先在dockers-compose 文件中加入.env services: xxx: env_file: - sample.env user:
Docker创建容器时目录权限踩坑
09-29
这个过程对于初学者来说可能比较难以理解,因为它涉及到Linux的文件系统权限管理和Docker容器权限机制的相互作用。然而,它是确保Docker容器正常运行的一个关键步骤。 总结来说,当我们在创建Docker容器并挂载宿...
docker 详解设置容器防火墙
01-11
但是这样的话就将系统的所有能力都开放给了Docker容器 有一个image为aaa的将启动为容器名为bbb的且在容器内需要使用iptables功能,可以使用–privileged=true来进行开启,如: docker run --privileged=true -d -...
如何给一个正在运行的Docker容器动态添加Volume
09-30
标题所涉及的知识点是:如何在Docker容器运行过程中动态添加数据卷(Volume)。在传统的认知中,数据卷通常在创建容器的时候被指定,因为Docker容器本身是不可变的,所以传统操作不支持在容器运行后修改其配置。但是...
Docker详解(十二)——Docker容器权限问题
永远是少年
04-19 2万+
今天继续给大家介绍Linux运维相关知识,本文主要内容是Docker容器权限问题。 一、Docker容器权限问题概述 二、Docker容器权限问题解决 (一)Docker权限问题 (二)systemctl命令无权执行解决
运维专题.Docker功能权限(Capabilities)管理和查看
jclee95的个人博客
05-27 1953
本文介绍Docker中功能权限(Capabilities)管理和查看。
docker权限设置:让非root用户可以操作docker
良知犹存的博客
11-02 4217
docker使用的时候需要sudo权限,但是很多时候我们账号是没有管理员权限的,为了不扩展管理员权限,我们可以把docker设置为非root用户操作
docker权限设置:让非root用户可以操作docker--》附带:linux新增用户添加root权限
热门推荐
白骨梦儿
08-04 3万+
一、首先在linux下创建新用户 #创建用户username adduser username #修改用户username的密码 passwd username 二、为用户添加root权限 方法一:修改 /etc/sudoers 文件,找到下面一行,把前面的注释(#)去掉 Allows people in group wheel to run all commands %wheel ALL=(ALL) ALL 然后修改用户,使其属于root组(wheel),命令如下: #usermod -
Docker基础(0)docker用户创建和设置权限
wangleleb的博客
08-01 928
一般来说,在按照官网的方法步骤安装完成docker之后,会默认创建完成一个docker用户组,如果没有,那么则需要我们手动创建。
学会这三招,Docker 容器权限管理乐无忧!
easylife206的专栏
12-28 3990
如果平常有在玩 Docker 的用户肯定知道透过 docker command 启动的容器预设是使用 root 用户来当作预设使用者及群组的。这样就会遇到一个问题,当主机环境你拥有 ro...
docker数据卷权限管理--理论和验证
jialiu111111的博客
07-11 3496
当"es"用户的进程访问"/docker/elasticsearch-7.4.2/data"目录时,没有root权限,会出现 Permission denied的问题。1.3、如果在容器内对挂载目录下的文件进行了操作,则相应文件的所有者就会升级为root,如果容器中只有非root用户的权限,就无法对这些文件进行操作了。如果在容器内对挂载目录下的文件进行了操作,则相应文件的所有者就会升级为root,如果容器中只有非root用户的权限,就无法对这些文件进行操作了。我们查看挂载数据卷时候的目录权限和当前用户。
ubantu14 安装docker设置docker权限
y42775jp_lm的博客
02-21 1102
ubantu14 安装docker设置docker权限安装环节:准备更新apt-get、安装apt-transport-https和ca-certificates、添加新的GPG key $ sudo apt-get update $ sudo apt-get install apt-transport-https ca-certificates $ sudo apt-key adv --k
docker权限问题
进阶的蜗牛
07-26 6936
- 背景 root用户可运行docker命令,但是普通用户无法运行 - 普通用户执行报错如下: [root@test secrets]# docker ps -a ##root用户执行没报错 CONTAINER ID IMAGE COMMAND CREATED STATUS ...
arcgis license server无法启动远程协助‘’
03-18
### 关于ArcGIS License Server无法启动的解决方案 当遇到ArcGIS License Server无法启动的情况时,可以从以下几个方面排查并解决问题: #### 1. **检查网络配置** 确保License Server所在的计算机能够被其他客户端正常访问。如果是在局域网环境中部署了ArcGIS Server Local,则需要确认该环境下的网络设置是否允许远程连接AO组件[^1]。 #### 2. **验证服务状态** 检查ArcGIS Server Object Manager (SOM) 的运行情况。通常情况下,在Host SOM机器上需将此服务更改为由本地系统账户登录,并重启相关服务来恢复其正常工作流程[^2]。 #### 3. **审查日志文件** 查看ArcGIS License Manager的日志记录,寻找任何可能指示错误原因的信息。这些日志可以帮助识别具体是什么阻止了许可证服务器的成功初始化。 #### 4. **权限问题** 确认用于启动ArcGIS License Server的服务账号具有足够的权限执行所需操作。这包括但不限于读取/写入特定目录的权利以及与其他必要进程通信的能力。 #### 5. **软件版本兼容性** 保证所使用的ArcGIS产品及其依赖项之间存在良好的版本匹配度。不一致可能会导致意外行为或完全失败激活license server的功能。 #### 示例代码片段:修改服务登录身份 以下是更改Windows服务登录凭据的一个简单PowerShell脚本例子: ```powershell $serviceName = "ArcGISServerObjectManager" $newUsername = ".\LocalSystemUser" # 替换为实际用户名 $newPassword = ConvertTo-SecureString "" -AsPlainText -Force Set-Service -Name $serviceName -StartupType Automatic New-ServiceCredential -ServiceName $serviceName -Account $newUsername -Password $newPassword Restart-Service -Name $serviceName ``` 上述脚本仅作为示范用途,请依据实际情况调整参数值后再实施。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值