设置容器权限白名单:--cap-add 后面所有参数有哪些?
时间: 2024-01-16 21:02:21 浏览: 32
`--cap-add` 是 Docker 命令中的一个选项,用于向容器添加特定的 Linux 内核功能。这些内核功能通常被称为“能力(capabilities)”,可以控制容器对主机系统的访问权限。以下是一些可用的参数列表:
- `ALL`: 添加所有能力
- `AUDIT_CONTROL`: 启用和禁用内核审计功能
- `AUDIT_WRITE`: 写入审计日志记录
- `BLOCK_SUSPEND`: 防止挂起系统
- `CHOWN`: 允许更改文件所有权
- `DAC_OVERRIDE`: 忽略文件权限
- `DAC_READ_SEARCH`: 读取和搜索目录
- `FOWNER`: 忽略文件所有权
- `FSETID`: 忽略设置ID位
- `IPC_LOCK`: 锁定共享内存区域
- `IPC_OWNER`: 取得进程间通信的所有权
- `KILL`: 发送信号给任意进程
- `LEASE`: 占用文件
- `LINUX_IMMUTABLE`: 忽略文件的可变性
- `NET_ADMIN`: 管理网络接口
- `NET_BIND_SERVICE`: 绑定到低于1024的端口
- `NET_BROADCAST`: 广播访问网络
- `NET_RAW`: 原始套接字访问权限
- `SETFCAP`: 设置文件能力
- `SETGID`: 设置组ID
- `SETPCAP`: 设置进程能力
- `SETUID`: 设置用户ID
- `SYS_ADMIN`: 管理系统
- `SYS_BOOT`: 能够重启系统
- `SYS_CHROOT`: 能够改变根目录
- `SYS_MODULE`: 插入和删除内核模块
- `SYS_NICE`: 优先级调整
- `SYS_PACCT`: 可以读取进程账户信息
- `SYS_PTRACE`: 能够调试进程
- `SYS_RAWIO`: 直接访问I/O端口
- `SYS_RESOURCE`: 能够更改资源限制
- `SYS_TIME`: 设置系统时钟
- `SYS_TTY_CONFIG`: 更改终端设备设置
- `WAKE_ALARM`: 触发定时器闹钟
需要注意的是,添加过多的能力可能会降低容器的安全性,因此需要根据具体需求进行选择。
相关推荐
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)