设置容器权限白名单:--cap-add 后面参数
时间: 2023-08-13 21:05:29 浏览: 68
在 Docker 中,可以通过 `--cap-add` 参数来设置容器的权限白名单,以允许容器访问主机上的某些特定权限。`--cap-add` 参数后面可以跟随一个或多个参数,用于指定需要添加的权限。这些参数通常是 Linux 内核中的一些权限名称,例如:
- `NET_ADMIN`:允许容器管理网络配置。
- `SYS_ADMIN`:允许容器执行系统级别的操作,如挂载文件系统等。
- `SYS_PTRACE`:允许容器使用 ptrace 系统调用,以便调试其它进程。
例如,以下命令将启动一个容器,并添加 `NET_ADMIN` 和 `SYS_ADMIN` 权限:
```
docker run --cap-add NET_ADMIN --cap-add SYS_ADMIN myimage
```
需要注意的是,添加过多的权限可能会导致安全风险,因此只应该添加必要的权限,并且尽可能限制容器的访问范围。
相关问题
设置容器权限白名单:--cap-add 后面所有参数有哪些?
`--cap-add` 是 Docker 命令中的一个选项,用于向容器添加特定的 Linux 内核功能。这些内核功能通常被称为“能力(capabilities)”,可以控制容器对主机系统的访问权限。以下是一些可用的参数列表:
- `ALL`: 添加所有能力
- `AUDIT_CONTROL`: 启用和禁用内核审计功能
- `AUDIT_WRITE`: 写入审计日志记录
- `BLOCK_SUSPEND`: 防止挂起系统
- `CHOWN`: 允许更改文件所有权
- `DAC_OVERRIDE`: 忽略文件权限
- `DAC_READ_SEARCH`: 读取和搜索目录
- `FOWNER`: 忽略文件所有权
- `FSETID`: 忽略设置ID位
- `IPC_LOCK`: 锁定共享内存区域
- `IPC_OWNER`: 取得进程间通信的所有权
- `KILL`: 发送信号给任意进程
- `LEASE`: 占用文件
- `LINUX_IMMUTABLE`: 忽略文件的可变性
- `NET_ADMIN`: 管理网络接口
- `NET_BIND_SERVICE`: 绑定到低于1024的端口
- `NET_BROADCAST`: 广播访问网络
- `NET_RAW`: 原始套接字访问权限
- `SETFCAP`: 设置文件能力
- `SETGID`: 设置组ID
- `SETPCAP`: 设置进程能力
- `SETUID`: 设置用户ID
- `SYS_ADMIN`: 管理系统
- `SYS_BOOT`: 能够重启系统
- `SYS_CHROOT`: 能够改变根目录
- `SYS_MODULE`: 插入和删除内核模块
- `SYS_NICE`: 优先级调整
- `SYS_PACCT`: 可以读取进程账户信息
- `SYS_PTRACE`: 能够调试进程
- `SYS_RAWIO`: 直接访问I/O端口
- `SYS_RESOURCE`: 能够更改资源限制
- `SYS_TIME`: 设置系统时钟
- `SYS_TTY_CONFIG`: 更改终端设备设置
- `WAKE_ALARM`: 触发定时器闹钟
需要注意的是,添加过多的能力可能会降低容器的安全性,因此需要根据具体需求进行选择。
docker run -itd --restart=always --privileged --cap-add SYS_PTRACE --name prod-env-xy
这是一个Docker命令,意思是在后台以特权模式和系统级别的调试权限启动一个名为"prod-env-xy"的容器。其中:
- `-itd` 表示以交互式终端方式运行容器,并在后台运行。
- `--restart=always` 表示容器会在停止后自动重启。
- `--privileged` 表示容器以特权模式运行,拥有访问主机系统所有设备和文件的权限。
- `--cap-add SYS_PTRACE` 表示容器拥有系统级别的调试权限。
- `--name prod-env-xy` 表示给容器取一个别名为"prod-env-xy"。