Docker容器的capability

最新推荐文章于 2025-11-20 12:23:31 发布
原创 最新推荐文章于 2025-11-20 12:23:31 发布 · 3.8k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#容器 capability

linux capability是啥?

资料来源:

http://man7.org/linux/man-pages/man7/capabilities.7.html

 For the purpose of performing permission checks, traditional UNIX

       implementations distinguish two categories of processes: privileged

       processes (whose effective user ID is 0, referred to as superuser or

       root), and unprivileged processes (whose effective UID is nonzero).

       Privileged processes bypass all kernel permission checks, while

       unprivileged processes are subject to full permission checking based

       on the process's credentials (usually: effective UID, effective GID,

       and supplementary group list).

 

       Starting with kernel 2.2, Linux divides the privileges traditionally

       associated with superuser into distinct units, known as capabilities,

       which can be independently enabled and disabled.  Capabilities are a

       per-thread attribute.

原来linux系统为了将系统权限作了分类,虽然是root用户,如果没有赋予相关的权限也是白搭。

 

下面命令列出了系统支持的capability:

[root@centos /]# capsh --print

Current: = cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_linux_immutable,cap_net_bind_service,cap_net_broadcast,cap_net_admin,cap_net_raw,cap_ipc_lock,cap_ipc_owner,cap_sys_module,cap_sys_rawio,cap_sys_chroot,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,cap_sys_nice,cap_sys_resource,cap_sys_time,cap_sys_tty_config,cap_mknod,cap_lease,cap_audit_write,cap_audit_control,cap_setfcap,cap_mac_override,cap_mac_admin,cap_syslog,35,36+ep

Bounding set =cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_linux_immutable,cap_net_bind_service,cap_net_broadcast,cap_net_admin,cap_net_raw,cap_ipc_lock,cap_ipc_owner,cap_sys_module,cap_sys_rawio,cap_sys_chroot,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,cap_sys_nice,cap_sys_resource,cap_sys_time,cap_sys_tty_config,cap_mknod,cap_lease,cap_audit_write,cap_audit_control,cap_setfcap,cap_mac_override,cap_mac_admin,cap_syslog,35,36

Securebits: 00/0x0/1'b0

 secure-noroot: no (unlocked)

 secure-no-suid-fixup: no (unlocked)

 secure-keep-caps: no (unlocked)

uid=0(root)

gid=0(root)

groups=0(root)

 

下面来看看docker-containerd这个进程所有的capability:

cat /proc/`pidof docker-containerd`/status | grep Cap

CapInh: 0000000000000000

CapPrm: 0000001fffffffff

CapEff: 0000001fffffffff

CapBnd: 0000001fffffffff

CapAmb: 0000000000000000

 

capsh --decode=0x1fffffffff    // 解码

0x0000001fffffffff=cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_linux_immutable,cap_net_bind_service,cap_net_broadcast,cap_net_admin,cap_net_raw,cap_ipc_lock,cap_ipc_owner,cap_sys_module,cap_sys_rawio,cap_sys_chroot,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,cap_sys_nice,cap_sys_resource,cap_sys_time,cap_sys_tty_config,cap_mknod,cap_lease,cap_audit_write,cap_audit_control,cap_setfcap,cap_mac_override,cap_mac_admin,cap_syslog,35,36

对比发现,与系统支持的相符合。(getpcaps `pidof docker-containerd`可以得到同样的输出)

 

下面来看看docker容器的capability:

[root@centos opt]#docker run -ti centos /bin/bash

[root@f45f03e236ec /]# capsh --print

Current: = cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap+eip

Bounding set =cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap

Securebits: 00/0x0/1'b0

 secure-noroot: no (unlocked)

 secure-no-suid-fixup: no (unlocked)

 secure-keep-caps: no (unlocked)

uid=0(root)

gid=0(root)

groups=

对比发现,容器少了大致下面的capability:

cap_net_admin,cap_net_broadcast,cap_sys_module,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,cap_sys_nice,cap_sys_resource,cap_sys_time,cap_syslog

 

因此,容器用户不允许执行ip、time这些命令。

 

 

vendor/github.com/containerd/containerd/oci/spec_unix.go,这个文件定义了缺省的capability。

func defaultCaps() []string {

        return []string{

                "CAP_CHOWN",

                "CAP_DAC_OVERRIDE",

                "CAP_FSETID",

                "CAP_FOWNER",

                "CAP_MKNOD",

                "CAP_NET_RAW",

                "CAP_SETGID",

                "CAP_SETUID",

                "CAP_SETFCAP",

                "CAP_SETPCAP",

                "CAP_NET_BIND_SERVICE",

                "CAP_SYS_CHROOT",

                "CAP_KILL",

                "CAP_AUDIT_WRITE",

        }

}

 

下面的命令可以动态的改动容器所有的capability:

[root@centos opt]#docker run --cap-drop all --cap-add net_admin -ti centos /bin/bash

[root@1db73e0aaf38 /]# capsh --print

Current: = cap_net_admin+eip   // 只具备net_admin

Bounding set =cap_net_admin

Securebits: 00/0x0/1'b0

 secure-noroot: no (unlocked)

 secure-no-suid-fixup: no (unlocked)

 secure-keep-caps: no (unlocked)

uid=0(root)

gid=0(root)

groups=

 

Docker特权容器capability
SHELLCODE_8BIT的博客
08-17 737
(1条消息) Docker 容器安全(1):我的容器真的需要privileged权限吗?_富士康质检员张全蛋的博客-优快云博客_docker privileged
Docker学习(3)——安装部署过程及简单应用
meltsnow的博客
06-19 503
一、 Docker的部署与安装 1.安装docker和相关依赖性 [root@server1 docker]# ls container-selinux-2.21-1.el7.noarch.rpm docker-ce-18.06.1.ce-3.el7.x86_64.rpm libsemanage-2.5-8.el7.x86_64.rpm libsemanage-python-2.5-8.el7.x...
Docker 容器隔离关键技术:Capabilities
pumpkin84514的博客
11-29 1152
它将传统 root 权限细化为 38 项小权限,既能满足功能需求,又能最大限度地降低安全风险。,包含每项的作用、引入版本和 Docker 容器默认是否启用(14 项默认启用的权限已标注)。这使得我们可以为容器按需分配权限,而不是直接授予完全的 root 权限。通过分配具体的钥匙,你可以让容器只完成特定任务,而不会获取过多的权限。如果容器需要额外权限(如管理网络接口),可以通过。权限原则**:容器只能执行特定任务,提升隔离性。:可以根据需要动态调整权限,满足任务需求。)权限拆分为多个独立的小权限(目前为。
Docker cap_add权限详解:从入门到生产环境安全落地
最新发布
PoliVein的博客
11-20 869
掌握Docker容器cap_add权限配置方法,解决特权容器安全风险。详解常见应用场景、最小权限原则实施步骤及生产环境最佳实践,提升容器安全性与灵活性,值得收藏。
Docker Capabilities
qq_36657175的博客
10-26 1150
Linux Capability and Docker Capability
Docker capabilitydocker capability 属性功能介绍(docker运行时权限、Linux系统功能)
叮当猫的喵i
01-05 2407
出于容器之间和容器与宿主机的安全隔离保护,在默认Docker配置下,Docker容器是没有系统权限的。这是因为在默认情况下,容器内的进程不允许访问任何宿主机上的设备。默认的seccomp配置文件将根据所选的功能进行调整,以允许使用功能所允许的功能,所以从Docker1.12之后的版本,不应该对此进行调整。时,将允许Docker容器访问宿主机上的所有设备,并在AppArmor或SELinux中设置一些配置,使容器内的进程可以与容器外运行的进程几乎一样权限来访问宿主机。如果想限制对特定设备的访问,可以使用。
企业化运维(8)Docker容器技术
weixin_46927961的博客
07-28 1856
自定义网络模式,docker提供了三种自定义网络驱动:• bridge• overlay• macvlanbridge驱动类似默认的bridge网络模式,但增加了一些新的功能,overlay和macvlan是用于创建跨主机网络。建议使用自定义的网络来控制哪些容器可以相互通信,还可以自动DNS解析容器名称到IP地址。自定义网络查看自定义网络地址段查看使用--ip参数可以指定容器ip地址,但必须是在自定义网桥上,默认的 bridge模式不支持,同一网桥上的容器是可以互通的。
vllm docker容器部署大语言模型
zxw的博客
06-10 2617
使用vllm docker容器部署大语言模型。
docker容器时间问题探究到Namespace问题
因上努力,果上随缘。但行好事,莫问前程。
05-09 1355
1,容器的时间问题 在测试环境已经全面使用 k8s 部署了,今天突然有一个测试同学,因为特殊场景,希望更改一下服务对应的容器时间,当时我心想,这不是挺简单的。 于是就来到容器当中,执行如下命令进行更改: [root@a-admin-f478dbd55-ddv7x /]# date Tue Jun 18 14:01:34 CST 2019 [root@a-admin-f478dbd55-ddv7x /]# date -s 05/28 date: cannot set date: Operation n
运维专题.Docker功能权限(Capabilities)管理和查看
jclee95的个人博客
05-27 2106
本文介绍Docker中功能权限(Capabilities)管理和查看
linux和dockercapabilities介绍
weixin_34242509的博客
12-14 447
验证环境:centos7 x86/64 内核版本4.19.9 在linux 2.2版本之前,当内核对进程进行权限验证的时候,可以将进程划分为两类:privileged(UID=0)和unprivilege(UID!=0)。其中privileged的进程拥有所有内核权限,而unprivileged则根据如可执行文件的权限(effective UID, effective GID,supplemen...
Docker 实战:Docker内核能力机制
qq_33240556的博客
03-17 385
Docker 实战中,内核能力(Capabilities)机制是一个关键的安全特性,它用于细粒度地控制容器内的进程权限。通过内核能力机制,Docker 可以将 root 权限分解为一组独立的能力,并允许管理员根据容器实际需求分配相应的最小特权。总之,在 Docker 实践中,合理配置内核能力是强化容器安全性、遵循最小权限原则的重要手段之一。通过这一机制,可以在保证容器正常运行的前提下,最大程度地降低由于权限过大带来的潜在安全威胁。
[docker]Full container capabilities (–privileged)
毛台
05-12 631
Full container capabilities (–privileged) $ docker run -t -i --rm ubuntu bash root@bc338942ef20:/# mount -t tmpfs none /mnt mount: permission denied This will not work, because by default, mo
linux docker 权限划分介绍 capabilities
whatday的专栏
02-25 2697
验证环境:centos7 x86/64 内核版本4.19.9 在linux 2.2版本之前,当内核对进程进行权限验证的时候,可以将进程划分为两类:privileged(UID=0)和unprivilege(UID!=0)。其中privileged的进程拥有所有内核权限,而unprivileged则根据如可执行文件的权限(effective UID, effective GID,supplemen...
linux capability详解与容器中的capability
weixin_42152531的博客
09-29 5410
linux capability详解capability概述查看当前用户的权限进程的权限在进程内部进行用户切换(进程内调用setuid和setgid)测试内核代码文件权限查看某个文件的权限为某个文件赋权进程创建子进程的时候的权限 capability概述 在许多文章中都有讲到这部分,本文不做过多解释。自行百度。 capabilities(7) — Linux manual page——官方权威!!! Linux Capabilities 入门教程:概念篇——米开朗基杨 Linux Capabilities
浅谈Docker的安全性支持(上篇)
Galaxy_0的博客
02-10 644
浅谈Docker的安全性支持(上篇)
Docker实验室:深入理解Linux Capabilities机制
gitblog_00590的博客
06-03 476
在Linux系统中,root用户拥有至高无上的权限,但这种"全有或全无"的权限模型在现代容器化环境中显得过于粗糙。Linux Capabilities机制应运而生,它将root权限分解为多个独立的能力单元。本文将带你深入了解这一机制及其在Docker中的应用。 ## 什么是Linux Capabilities Linux Capabilities是内核提供的一种细粒度权限控制机制,它将传统的r...
Docker特权模式:--privileged、--cap-add、--cap-drop
斯文~
11-10 4217
Docker特权模式:--privileged、--cap-add、--cap-drop
[读书笔记]Docker容器安全
ThinkHY的专栏
03-28 4954
Docker能否大规模用于生产环境,尤其是公有云环境,就在于Docker是否能提供安全的环境。本文将总结《Docker容器容器云》一书3.9节『Docker容器安全』的主要内容,包括Docker现有安全机制、存在的安全问题以及Docker安全增强三个方面。
AppArmor 限制docker容器
01-22
### 配置 AppArmor 以增强 Docker 容器安全性 AppArmor 是一种 Linux 内核安全模块,它为程序定义了一种简单而灵活的基于路径的强制访问控制方法。对于 Docker 来说,可以通过配置特定的应用程序抽象文件来限制容器的行为。 #### 创建自定义 AppArmor Profile 为了给 Docker 容器应用 AppArmor 策略,首先需要创建一个新的 AppArmor profile 文件: ```bash sudo nano /etc/apparmor.d/docker-container-default-with-nginx ``` 在这个例子中,假设要保护的是一个运行 Nginx 的 Web 服务器容器。编辑后的文件应该类似于这样: ```apparmor #include <tunables/global> profile docker-default flags=(attach_disconnected,mediate_deleted) { #include <abstractions/base> capability chown, capability dac_override, capability setgid, capability setuid, network inet tcp, file, mount options=(remount,ro) -> none, } ``` 上述配置限定了容器内的进程所能执行的操作权限[^1]。 #### 加载并验证新的 AppArmor Profile 保存更改后,加载新创建的 AppArmor profile: ```bash sudo apparmor_parser -r /etc/apparmor.d/docker-container-default-with-nginx ``` 确认该 profile 已被正确加载: ```bash sudo aa-status | grep 'docker' ``` 如果一切正常,则可以看到刚才添加的新条目已经生效。 #### 启动带有指定 AppArmor Profile 的 Docker 容器 最后,在启动 Docker 容器时指定所创建的 AppArmor profile 名称作为参数传递进去: ```bash docker run --security-opt apparmor=docker-container-default-with-nginx nginx:latest ``` 这一步骤确保了只有当满足预设条件的情况下,Nginx 才能在受限环境下工作,从而提高了整体系统的安全性[^2]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值