docker 容器的权限设置

1.Docker设置

Dcoker容器在使用的过程中,默认的docker run时都是以普通方式启动的,有的时候是需要使用在容器中使用iptables进行启动的,这时候就需要开启权限,只需要在docker run时增加参数

--cap-add list                   Add Linux capabilities # 添加某些权限
--cap-drop list                  Drop Linux capabilities # 关闭权限
--privileged                     Give extended privileges to this container # default false 
  
pprivileged,权限全开,不利于宿主机安全
cap-add/cap-drop,细粒度权限设置,需要什么开什么

默认run容器的情况下,查看iptables都是不允许的:iptables -nL

 有的时候,我们有需求进行网络设置,即入站、出站网络端口设置,我们可以在启动容器的时候增加相应的权限。

docker run --name=docker_nginx --cap-add NET_ADMIN -d docker_nginx

  • 1.privileged,权限全开,不利于宿主机安全
  • 2.cap-add/cap-drop,细粒度权限设置,需要什么开什么

cap-add 参数设置:

CHOWN:修改文件属主的权限

DAC_OVERRIDE:忽略文件的DAC访问限制

DAC_READ_SEARCH:忽略文件读及目录搜索的DAC访问限制

FOWNER:忽略文件属主ID必须和进程用户ID相匹配的限制

FSETID:允许设置文件的setuid位

KILL:允许对不属于自己的进程发送信号

SETGID:允许改变进程的组ID

SETUID:允许改变进程的用户ID

SETPCAP:允许向其他进程转移能力以及删除其他进程的能力

LINUX_IMMUTABLE:允许修改文件的IMMUTABLE和APPEND属性标志

NET_BIND_SERVICE:允许绑定到小于1024的端口

NET_BROADCAST:允许网络广播和多播访问

NET_ADMIN:允许执行网络管理任务

NET_RAW:允许使用原始套接字

IPC_LOCK:允许锁定共享内存片段

IPC_OWNER:忽略IPC所有权检查

SYS_MODULE:允许插入和删除内核模块

SYS_RAWIO:允许直接访问/devport,/dev/mem,/dev/kmem及原始块设备

SYS_CHROOT:允许使用chroot()系统调用

SYS_PTRACE:允许跟踪任何进程

SYS_PACCT:允许执行进程的BSD式审计

SYS_ADMIN:允许执行系统管理任务,如加载或卸载文件系统、设置磁盘配额等

SYS_BOOT:允许重新启动系统

SYS_NICE:允许提升优先级及设置其他进程的优先级

SYS_RESOURCE:忽略资源限制

SYS_TIME:允许改变系统时钟

SYS_TTY_CONFIG:允许配置TTY设备

MKNOD:允许使用mknod()系统调用

LEASE:允许修改文件锁的FL_LEASE标志

2.docker-compose的设置 

containers:
      - name: snake
        image: docker.io/kelysa/snake:lastest
        imagePullPolicy: Always
        securityContext:
          privileged: true
          capabilities:
            add: ["NET_ADMIN","NET_RAW"]

参考:

docker容器权限设置--cap-add | --cap-drop | privileged - Marathon-Davis - 博客园

### 关于ArcGIS License Server无法启动的解决方案 当遇到ArcGIS License Server无法启动的情况时,可以从以下几个方面排查并解决问题: #### 1. **检查网络配置** 确保License Server所在的计算机能够被其他客户端正常访问。如果是在局域网环境中部署了ArcGIS Server Local,则需要确认该环境下的网络设置是否允许远程连接AO组件[^1]。 #### 2. **验证服务状态** 检查ArcGIS Server Object Manager (SOM) 的运行情况。通常情况下,在Host SOM机器上需将此服务更改为由本地系统账户登录,并重启相关服务来恢复其正常工作流程[^2]。 #### 3. **审查日志文件** 查看ArcGIS License Manager的日志记录,寻找任何可能指示错误原因的信息。这些日志可以帮助识别具体是什么阻止了许可证服务器的成功初始化。 #### 4. **权限问题** 确认用于启动ArcGIS License Server的服务账号具有足够的权限执行所需操作。这包括但不限于读取/写入特定目录的权利以及与其他必要进程通信的能力。 #### 5. **软件版本兼容性** 保证所使用的ArcGIS产品及其依赖项之间存在良好的版本匹配度。不一致可能会导致意外行为或完全失败激活license server的功能。 #### 示例代码片段:修改服务登录身份 以下是更改Windows服务登录凭据的一个简单PowerShell脚本例子: ```powershell $serviceName = "ArcGISServerObjectManager" $newUsername = ".\LocalSystemUser" # 替换为实际用户名 $newPassword = ConvertTo-SecureString "" -AsPlainText -Force Set-Service -Name $serviceName -StartupType Automatic New-ServiceCredential -ServiceName $serviceName -Account $newUsername -Password $newPassword Restart-Service -Name $serviceName ``` 上述脚本仅作为示范用途,请依据实际情况调整参数值后再实施。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值