设置容器权限白名单：--cap-add 后面参数

在 Docker 中，可以通过 `--cap-add` 参数来设置容器的权限白名单，以允许容器访问主机上的某些特定权限。`--cap-add` 参数后面可以跟随一个或多个参数，用于指定需要添加的权限。这些参数通常是 Linux 内核中的一些权限名称，例如：

- `NET_ADMIN`：允许容器管理网络配置。
- `SYS_ADMIN`：允许容器执行系统级别的操作，如挂载文件系统等。
- `SYS_PTRACE`：允许容器使用 ptrace 系统调用，以便调试其它进程。

例如，以下命令将启动一个容器，并添加 `NET_ADMIN` 和 `SYS_ADMIN` 权限：

docker run --cap-add NET_ADMIN --cap-add SYS_ADMIN myimage

需要注意的是，添加过多的权限可能会导致安全风险，因此只应该添加必要的权限，并且尽可能限制容器的访问范围。

相关问题

设置容器权限白名单：--cap-add 后面所有参数有哪些？

`--cap-add` 是 Docker 命令中的一个选项，用于向容器添加特定的 Linux 内核功能。这些内核功能通常被称为“能力（capabilities）”，可以控制容器对主机系统的访问权限。以下是一些可用的参数列表：

- `ALL`: 添加所有能力
- `AUDIT_CONTROL`: 启用和禁用内核审计功能
- `AUDIT_WRITE`: 写入审计日志记录
- `BLOCK_SUSPEND`: 防止挂起系统
- `CHOWN`: 允许更改文件所有权
- `DAC_OVERRIDE`: 忽略文件权限
- `DAC_READ_SEARCH`: 读取和搜索目录
- `FOWNER`: 忽略文件所有权
- `FSETID`: 忽略设置ID位
- `IPC_LOCK`: 锁定共享内存区域
- `IPC_OWNER`: 取得进程间通信的所有权
- `KILL`: 发送信号给任意进程
- `LEASE`: 占用文件
- `LINUX_IMMUTABLE`: 忽略文件的可变性
- `NET_ADMIN`: 管理网络接口
- `NET_BIND_SERVICE`: 绑定到低于1024的端口
- `NET_BROADCAST`: 广播访问网络
- `NET_RAW`: 原始套接字访问权限
- `SETFCAP`: 设置文件能力
- `SETGID`: 设置组ID
- `SETPCAP`: 设置进程能力
- `SETUID`: 设置用户ID
- `SYS_ADMIN`: 管理系统
- `SYS_BOOT`: 能够重启系统
- `SYS_CHROOT`: 能够改变根目录
- `SYS_MODULE`: 插入和删除内核模块
- `SYS_NICE`: 优先级调整
- `SYS_PACCT`: 可以读取进程账户信息
- `SYS_PTRACE`: 能够调试进程
- `SYS_RAWIO`: 直接访问I/O端口
- `SYS_RESOURCE`: 能够更改资源限制
- `SYS_TIME`: 设置系统时钟
- `SYS_TTY_CONFIG`: 更改终端设备设置
- `WAKE_ALARM`: 触发定时器闹钟

需要注意的是，添加过多的能力可能会降低容器的安全性，因此需要根据具体需求进行选择。

docker run -itd --restart=always --privileged --cap-add SYS_PTRACE --name prod-env-xy

这是一个Docker命令，意思是在后台以特权模式和系统级别的调试权限启动一个名为"prod-env-xy"的容器。其中：

- `-itd` 表示以交互式终端方式运行容器，并在后台运行。
- `--restart=always` 表示容器会在停止后自动重启。
- `--privileged` 表示容器以特权模式运行，拥有访问主机系统所有设备和文件的权限。
- `--cap-add SYS_PTRACE` 表示容器拥有系统级别的调试权限。
- `--name prod-env-xy` 表示给容器取一个别名为"prod-env-xy"。