Docker容器的capability

原創 somyjun 2019-04-27 02:46

linux capability是啥?

資料來源:

http://man7.org/linux/man-pages/man7/capabilities.7.html

 For the purpose of performing permission checks, traditional UNIX

       implementations distinguish two categories of processes: privileged

       processes (whose effective user ID is 0, referred to as superuser or

       root), and unprivileged processes (whose effective UID is nonzero).

       Privileged processes bypass all kernel permission checks, while

       unprivileged processes are subject to full permission checking based

       on the process's credentials (usually: effective UID, effective GID,

       and supplementary group list).

 

       Starting with kernel 2.2, Linux divides the privileges traditionally

       associated with superuser into distinct units, known as capabilities,

       which can be independently enabled and disabled.  Capabilities are a

       per-thread attribute.

原來linux系統爲了將系統權限作了分類,雖然是root用戶,如果沒有賦予相關的權限也是白搭。

 

下面命令列出了系統支持的capability:

[root@centos /]# capsh --print

Current: = cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_linux_immutable,cap_net_bind_service,cap_net_broadcast,cap_net_admin,cap_net_raw,cap_ipc_lock,cap_ipc_owner,cap_sys_module,cap_sys_rawio,cap_sys_chroot,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,cap_sys_nice,cap_sys_resource,cap_sys_time,cap_sys_tty_config,cap_mknod,cap_lease,cap_audit_write,cap_audit_control,cap_setfcap,cap_mac_override,cap_mac_admin,cap_syslog,35,36+ep

Bounding set =cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_linux_immutable,cap_net_bind_service,cap_net_broadcast,cap_net_admin,cap_net_raw,cap_ipc_lock,cap_ipc_owner,cap_sys_module,cap_sys_rawio,cap_sys_chroot,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,cap_sys_nice,cap_sys_resource,cap_sys_time,cap_sys_tty_config,cap_mknod,cap_lease,cap_audit_write,cap_audit_control,cap_setfcap,cap_mac_override,cap_mac_admin,cap_syslog,35,36

Securebits: 00/0x0/1'b0

 secure-noroot: no (unlocked)

 secure-no-suid-fixup: no (unlocked)

 secure-keep-caps: no (unlocked)

uid=0(root)

gid=0(root)

groups=0(root)

 

下面來看看docker-containerd這個進程所有的capability:

cat /proc/`pidof docker-containerd`/status | grep Cap

CapInh: 0000000000000000

CapPrm: 0000001fffffffff

CapEff: 0000001fffffffff

CapBnd: 0000001fffffffff

CapAmb: 0000000000000000

 

capsh --decode=0x1fffffffff    // 解碼

0x0000001fffffffff=cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_linux_immutable,cap_net_bind_service,cap_net_broadcast,cap_net_admin,cap_net_raw,cap_ipc_lock,cap_ipc_owner,cap_sys_module,cap_sys_rawio,cap_sys_chroot,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,cap_sys_nice,cap_sys_resource,cap_sys_time,cap_sys_tty_config,cap_mknod,cap_lease,cap_audit_write,cap_audit_control,cap_setfcap,cap_mac_override,cap_mac_admin,cap_syslog,35,36

對比發現,與系統支持的相符合。(getpcaps `pidof docker-containerd`可以得到同樣的輸出)

 

下面來看看docker容器的capability:

[root@centos opt]#docker run -ti centos /bin/bash

[root@f45f03e236ec /]# capsh --print

Current: = cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap+eip

Bounding set =cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap

Securebits: 00/0x0/1'b0

 secure-noroot: no (unlocked)

 secure-no-suid-fixup: no (unlocked)

 secure-keep-caps: no (unlocked)

uid=0(root)

gid=0(root)

groups=

對比發現,容器少了大致下面的capability:

cap_net_admin,cap_net_broadcast,cap_sys_module,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,cap_sys_nice,cap_sys_resource,cap_sys_time,cap_syslog

 

因此,容器用戶不允許執行ip、time這些命令。

 

 

vendor/github.com/containerd/containerd/oci/spec_unix.go,這個文件定義了缺省的capability。

func defaultCaps() []string {

        return []string{

                "CAP_CHOWN",

                "CAP_DAC_OVERRIDE",

                "CAP_FSETID",

                "CAP_FOWNER",

                "CAP_MKNOD",

                "CAP_NET_RAW",

                "CAP_SETGID",

                "CAP_SETUID",

                "CAP_SETFCAP",

                "CAP_SETPCAP",

                "CAP_NET_BIND_SERVICE",

                "CAP_SYS_CHROOT",

                "CAP_KILL",

                "CAP_AUDIT_WRITE",

        }

}

 

下面的命令可以動態的改動容器所有的capability:

[root@centos opt]#docker run --cap-drop all --cap-add net_admin -ti centos /bin/bash

[root@1db73e0aaf38 /]# capsh --print

Current: = cap_net_admin+eip   // 只具備net_admin

Bounding set =cap_net_admin

Securebits: 00/0x0/1'b0

 secure-noroot: no (unlocked)

 secure-no-suid-fixup: no (unlocked)

 secure-keep-caps: no (unlocked)

uid=0(root)

gid=0(root)

groups=

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

docker 給現有鏡像瘦身

在 Dockerfile 中, 每一條指令都會創建一個鏡像層,繼而會增加整體鏡像的大小。而commit也是層的增加。 這其實也很好理解,例如git,你對某個文件增加了一行,又刪除了一這一行,雖然最新版文件看起來沒有了,但其實歷史還

凌云靖宇 2020-07-08 10:26:19

Docker目錄結構

Docker默認的文件目錄位於Linux server的/var/lib/docker 下面。目錄結構如下: /var/lib/docker/ ├── containers ├── image │ └── overlay2 │

波波仔86 2020-07-08 09:58:10

使用Docker安裝Kong - 玩轉Kong網關

一.安裝docker 如果有較舊的 Docker 版本稱爲 docker 或 docker-engine 。如果已安裝這些程序,請卸載它們以及相關的依賴項。 $ sudo yum remove docker \            

幽默龙 2020-07-08 12:31:23

CentOS7環境下配置Docker

** CentOS7環境下配置Docker ** 文章目錄CentOS7環境下配置Docker一、安裝Docker1、查看CentOS版本及內核版本2、安裝準備3、刪除舊版本的Docker4、安裝 Docker Engine-Co

chung961977305 2020-07-08 12:18:04

基於中標麒麟高級服務器操作系統7.4的docker入門教程1一——docker基本概念以及歷史

目錄 一、Docker產生背景以及歷史 二、Docker基本概念 三、Docker的應用場景   一、Docker產生背景以及歷史 衆所周知,Linux在早已存在LXC(Linux Container)的概念。LXC即系統默認利用na

skymfc 2020-07-08 11:40:41

docker 啓動kafka宿主機無法訪問

先看我啓動命令: docker run -e TZ="Asia/Shanghai" --privileged -itd -h single.com -p 127.0.0.1:9092:9092 -p 127.0.0.1:2181:218

moliyiran 2020-07-08 11:15:53

製作docker pt-online-schema-change修改表結構工具鏡像

  修改線上的表容易導致線網數據出現問題嚴重導致數據庫崩掉(尤其是主從同步的時候),所以一般不建議直接修改線網的表 一般情況建表的時候最好預留保留字段和json的擴展字段,保留字段用於需要經常排序或者查詢的,json擴展字段用於簡單的擴展

alexander137 2020-07-08 11:10:54

GitBlit安裝與使用

      Java 庫用來管理、查看和處理 Git 的資料庫工具,相當於 Git 的 Java 管理工具。通俗點來說就是一個相當於 SVN 的工具,用於多個人共同開發同一個項目,共用資源的目的。 1 軟件安裝 搭建環境:windows

要学就学最难的 2020-07-08 10:59:37

【docker問題】Client.Timeout exceeded while awaiting header

在進行docker pull 拉取鏡像時,出現過下面的錯誤: net/http: request canceled while waiting for connection (Client.Timeout exceeded while a

pf1234321 2020-07-08 10:41:37

#Redis#Mac中docker安裝Redis步驟記錄

一、前提條件 mac已經安裝docker 二、安裝步驟如下: 1、拉取鏡像命令: docker pull redis sing default tag: latest latest: Pulling from library/redis

码农丁丁 2020-07-08 10:28:41

k8s(二)

佔位

6moji6 2020-07-08 10:26:30

Docker部署java項目

1、拉取鏡像docker pull java (附docker常用命令: 查看鏡像列表:docker images 查看運行中的容器: docker ps 查看所有容器: docker ps -a 停止容器:docker stop cid

yea大叶 2020-07-08 10:23:22

Docker存儲方式總結

docker四種存儲方式 docker四種方式:默認、volumes數據卷、bind mounts掛載、tmpfs mount(僅在linux環境中提供),其中volumes、bind mounts兩種實現持久化容器數據; 默認:數據保存

波波仔86 2020-07-08 09:58:11

Docker從入門到掉坑(四) 國內搭建k8s避坑指南

在之前的幾篇文章中,主要還是講解了關於簡單的docker容器該如何進行管理和操作,在接下來的這篇文章開始,我們將開始進入對於k8s模塊的學習 在進行對k8s的學習之前,我們首先來進行幾個知識點的回顧: 什麼是容器? 通俗易懂地來講

Danny_idea 2020-07-08 09:57:37

Docker從入門到掉坑(一):Docker從入門到掉坑

Docker 介紹 簡單的對docker進行介紹,可以把它理解爲一個應用程序執行的容器。但是docker本身和虛擬機還是有較爲明顯的出入的。我大致歸納了一下,可以總結爲以下幾點: docker自身也有着很多的優點,關於它的優點,

Danny_idea 2020-07-08 09:57:36