CentOS 7系统,Docker想启用userns-remap,傻了吧?

最新推荐文章于 2023-02-17 09:33:49 发布
最新推荐文章于 2023-02-17 09:33:49 发布
阅读量904 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 运维
原文链接:https://yq.aliyun.com/articles/593773

今天想启用这个功能,

这样,docker里的root用户,就不用是宿主机的root用户,

安全性可以提高一个层次。

于是找了文档,对比了配置,default用了,自定义用了,

结果呢?

傻眼了~~~~全都失败。


~~~~~~~~~~~~~~~~~~~~

花了几小时,再想找找为何失败,

结果,原来在centos/rhel中, user namespaces只是一个预览功能。

要用命令才能开启!!!!

OMG,不知敢不敢用了。


http://cache.baiducontent.com/c?m=9d78d513d9951cfe01bad4690d6790274e1497624c8b91027ea48448e5735a310731bce8653657448dca262147ed084beb832b6f675d7de28cc8ff1b9cedce3f2fff7b633601d31453985eaaca44389260d601b8f14efaeca774c0f58c92c25158ce50067f87f3&p=c27ec54ad5c516f30be296605055&newp=8b2a970e8ed505fd11bd9b7d0b4092695803ed633fd6d301298ffe0cc4241a1a1a3aecbf2025110fd7c2786703a44b58ecf03273330834f1f689df08d2ecce7e64d031702255&user=baidu&fm=sc&query=docker+userns-remap&qid=a68e3d2a000023c9&p1=11


https://segmentfault.com/q/1010000010909708

https://bugzilla.redhat.com/show_bug.cgi?id=1349704


========================

grubby --args="user_namespace.enable=1" --update-kernel="$(grubby --default-kernel)"
    reboot

If you're using CentOS 7, there are two things you need to know.

1.User Namespaces is not enabled on the kernel by default. You can enable it by executing the following command and restart the system.

sudo grubby --args="user_namespace.enable=1" \
    --update-kernel=/boot/vmlinuz-3.10.0-XXX.XX.X.el7.x86_64
The user namespaces are "Technology Preview" and disabled by default, see kernel implementation https://bugzilla.redhat.com/show_bug.cgi?id=1138782

If I good remember you need to enable it on kernel command line
(something like grubby --args=user_namespace.enable=1 + reboot).
docker(5)--docker安全
m0_62885194的博客
03-04 343
一、Docker安全简介 Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全。 Linux控制组机制对容器资源的控制能力安全。 Linux内核的能力机制所带来的操作权限安全。 Docker程序 (特别是服务端)本身的抗攻击性。 其他安全增强机制对容器安全性的影响。 1、命名空间隔离的安全 当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间
Centos7的安装、Docker1.12.3的安装,以及Docker Swarm集群的简单实例
迦壹的博墅
12-11 956
目录 1环境准备 1Centos 7 64位安装 2网络配置 3更改hostname 4配置ssh免密码登录登录 2安装Docker1123和初步配置 1安装Docker1123 2 验证Docker是否安装成功 3启动Docker daemon程序 3通过系统自带的systemctl启动docker并启动docker服务 4修改docker的配置文件 3创建swarm 集群 1开放firewa
Docker中使用userns-remap做用户命名空间
zyy247796143的博客
03-05 5463
使用普通用户启动Docker服务(基础) 使用普通用户运行docker容器 在docker中,在容器内创建的文件在从主机检查时往往具有不可预测的所有权。默认情况下,卷上文件的所有者是root(uid 0),但只要非root用户帐户涉及容器并写入文件系统,所有者就会从主机角度变得或多或少随机 。 您需要使用调用docker命令的同一用户帐户从主机访问卷数据时,这是一个问题. 典型的解决方法是 在Dockerfiles中创建时强制用户uID(非可移植) 将主机用户的UID作为环境变量传递给docker run命
linux用户隔离,隔离 Docker 容器中的用户
weixin_39641386的博客
04-28 860
笔者在前文《理解 docker 容器中的 uid 和 gid》介绍了 docker 容器中的用户与宿主机上用户的关系,得出的结论是:docker 默认没有隔离宿主机用户和容器中的用户。如果你已经了解了 Linux 的 user namespace 技术(参考《Linux Namespace : User》),那么自然会问:docker 为什么不利用 Linux user namespace 实现用...
docker的user namespace功能
weixin_33728268的博客
04-25 2243
docker的user namespace功能: 默认情况下:容器默认是以root账号进入的,即使指定默认账号,用户也可以通过--user 0来切到root账号,容器里的root和宿主机的root是同一性质,-v挂载宿主机任意目录后,可通过容器里的root账号对宿主机数据进行破坏,风险很大 user namespace功能可以规避这一问题,user namespace可以让容器有一个“假”的roo...
CentOS安装Docker
李二胖
02-17 367
Linux安装DockerDocker基本使用;配置Docker阿里云镜像仓库;Docker-Compose基本使用。
remap可以在java,Docker--userns-remap,如何管理卷权限以在主机和容器之间共享数据?...
weixin_39991926的博客
03-11 207
所有权设置为目的地的用户和主要组 . 例如,使用UID:root用户的GID创建复制到容器的文件 . 复制到本地计算机的文件是使用调用docker cp命令的用户的UID:GID创建的 .这是您的示例切换为使用 docker cp :$ docker run -ti -v /data debian:jessie /bin/bashroot@e33bb735a70f:/# echo 'hello' ...
Docker(八)--Docker安全
uikotygiug的博客
01-12 235
1. 理解Docker安全 Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全 Linux控制组机制对容器资源的控制能力安全。 Linux内核的能力机制所带来的操作权限安全 Docker程序(特别是服务端)本身的抗攻击性。 其他安全增强机制对容器安全性的影响。 命名空间隔离的安全 当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的
15.Docker(六)-----当前最安全的容器技术(理解Docker安全、容器资源控制、Docker安全加固)
qq_44060147的博客
07-25 792
这里写目录标题一、 一、
容器技术---(一)Docker
sss
11-30 1275
docker官网:Container Runtime with Docker Engine | Dockerhttps://www.docker.com/products/container-runtime?spm=a2c6h.13651104.0.0.6d9072ffL2HnED 安装docker 配置docker-ce软件仓库 此时yum install -y docker-ce会报错提示需要安装相关依赖包 配置所需依赖包的软件仓库 安装完成并启用docker
Docker安全之用户资源隔离
凌风探梅的专栏
06-29 3410
Docker安全之用户资源隔离 docker 字母哥 18小时前 75℃ 0评论 向您推荐 Dcoker入门与实践系列文章 欢迎加入QQ技术交流群:300139299 docker进行资源隔离的6种namespace namespace 隔离内容 内核版本 UTS 主机名与域名 Linux 2.6.19 IPC 信号量,消息队列和
浅谈Docker的安全性支持(下篇)
dzqxwzoe的博客
02-09 252
说起进程数限制,大家可能都知道ulimit的nproc这个配置,nproc是存在坑的,与其他ulimit选项不同的是,nproc是一个以用户为管理单位的设置选项,即他调节的是属于一个用户UID的最大进程数之和。如下面输出:
Docker】————1、docker安全基线整理
Fly_鹏程万里
04-07 2917
0x01 docker安全特性 kernel namespaces隔离机制 控制组 服务端防护 kernel capability能力机制 其他安全特性 docker安全基线有些可以直接根据docker安全特性进行配置。企业在现实条件允许的情况下,可从中筛选出符合自己内部docker容器的基线配置方案,首要原则是不影响生产环境和容器应用的运行。 0x02 docker安全基线 容...
Docker 生产环境之安全性 - 使用用户命名空间隔离容器
kikajack的博客
03-18 4429
原文地址Linux 命名空间为运行中的进程提供了隔离,限制他们对系统资源的访问,而进程没有意识到这些限制。有关 Linux 命名空间的更多信息,请参阅 Linux 命名空间。防止容器内的特权升级攻击的最佳方法是将容器的应用程序配置为作为非特权用户运行。对于其进程必须作为容器中的 root 用户运行的容器,可以将此用户重新映射到 Docker 主机上权限较低的用户。映射的用户被分配了一系列 UID,这
体验了一下Docker的root用户映射
weixin_34130389的博客
06-24 2229
2019独角兽企业重金招聘Python工程师标准>>> ...
数据卷权限管理--理论和验证
zhou920786312的博客
08-04 2012
一、Docker容器中用户权限管理 Linux系统的权限管理是由uid和gid负责,Linux系统会检查创建进程的uid和gid,以确定它是否有足够的权限修改文件,而非是通过用户名和用户组来确认。 同样,在docker容器中主机上运行的所有容器共享同一个内核也可以理解为共享权限管理方式。 在volume挂载目录时默认属于root用户,如果没有chown给其他用户的话,在Volume卷中创建的文件和文件夹将拥有与在容器中的卷相同的uid:gid(数字)。 1.1、容器启动的权限规则 容器启动的时候,容器中的
_remap php,CentOS 7系统Docker启用userns-remap了吧?
weixin_39632471的博客
03-23 145
今天启用这个功能,这样,docker里的root用户,就不用是宿主机的root用户,安全性可以提高一个层次。于是找了文档,对比了配置,default用了,自定义用了,结果呢?眼了~~~~全都失败。~~~~~~~~~~~~~~~~~~~~花了几小时,再找找为何失败,结果,原来在centos/rhel中,user namespaces只是一个预览功能。要用命令才能开启!!!!OMG,不知敢不敢用...
CentOS 7专用Docker安装包:container-selinux
SELinux在CentOS中默认是启用的,可以保护系统免受恶意软件和攻击者的破坏。在安装和管理Docker容器时,SELinux通过提供一套严格的策略来管理容器访问系统资源的权限。 3. Docker与SELinux的关系: Docker是一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值