容器安全 - 非特权/非root用户运行容器,提升容器的运行安全
《OpenShift 4.x HOL教程汇总》
文章目录
- 以非特权方式运行容器
- 以非root用户运行容器
以非特权方式运行容器
- 以特权的方式运行容器,确认可以执行“fdisk”命令,并能获得有效的返回结果。
$ sudo docker run -ti --privileged -v /etc:/mnt centos bash
[root@e21f07ad1509 /]# fdisk -l
Disk /dev/vda: 98.7 GiB, 105931341824 bytes, 206897152 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x00096aaeDevice Boot Start End Sectors Size Id Type
/dev/vda1 * 2048 204799999 204797952 97.7G 83 LinuxDisk /dev/vdb: 20 GiB, 21474836480 bytes, 41943040 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes[root@e21f07ad1509 /]# exit
exit
- 以非特权的方式运行容器,确认可以执行“fdisk”命令,但是不能获得有效的返回结果。
$ sudo docker run -ti -v /etc:/mnt centos bash
[root@a57b0407ebbe /]# fdisk -l
[root@86ec3a31683c /]# exit
exit
以非root用户运行容器
- 运行容器,确认进入容器后的缺省用户为 “root”。
$ sudo docker run -ti -v /etc:/mnt centos bash
[root@86ec3a31683c /]# id
uid=0(root) gid=0(root) groups=0(root)
[root@86ec3a31683c /]# exit
exit
- 用指定ID的“用户:组”运行容器,确认进入容器后的缺省用户为 “6667:6667”。
$ sudo docker run -ti -u 6667:6667 -v /etc:/mnt centos bash
bash-4.4$ id
uid=6667 gid=6667 groups=6667
bash-4.4$ fdisk -l
bash-4.4$ exit
exit
- 用指定ID的“用户:组”运行容器,确认虽然使用的是特权模式,但是出现 “Permission denied”提示,说明“6667:6667”无权访问“/dev”下面的资源。
$ sudo docker run -ti --privileged -u 6667:6667 -v /etc:/mnt centos bash
bash-4.4$ fdisk -l
fdisk: cannot open /dev/fd0: Permission denied
fdisk: cannot open /dev/vda: Permission denied
fdisk: cannot open /dev/vdb: Permission denied
fdisk: cannot open /dev/sr0: Permission denied
bash-4.4$ exit
exit
容器安全 - 非特权/非root用户运行容器,提升容器的运行安全相关推荐
- linux以非root身份运行,以非root用户身份在linux中运行mono-service
我需要在嵌入式系统上以最低Ubuntu安装方式运行.net C#应用程序(在Windows系统上开发)作为服务/守护程序(不包括X,除服务器外SSH,只有相关的软件).我创建了一个/etc/init. ...
- podman容器开机自启(root用户与普通用户)
文章目录 podman容器开机自启(root用户与普通用户) 1.运行容器 2.配置开机自启动文件 3.重新加载并启动查看 4.podman普通用户的使用 5.podman网络设置 6.podman网 ...
- 【docker系列】使用非root用户安装及启动docker(rootless模式运行)
通过我之前的文章已经可以验证,在root用户下安装启动的容器存在安全问题.究其原因是因为: 容器内的root用户就是宿主机的root用户,容器内uid=1000的用户就是宿主机uid=1000的用户 ...
- 操作系统4小时速成:操作系统发展和分类,运行环境:运行机制和内核,用户态非特权,核心态特权,中断技术,访管指令
操作系统4小时速成:操作系统发展和分类,运行环境:运行机制和内核,用户态非特权,核心态特权,中断技术,访管指令 2022找工作是学历.能力和运气的超强结合体,遇到寒冬,大厂不招人,可能很多算法学生都得 ...
- root 启动mysql_非root用户随开机而启动mysql服务
非root用户随开机而启动mysql服务 今天验证了一下,非root用户随开机而启动msyql服务的脚本执行效果,特此简要记录如下: 环境: 192.168.142.130 mysql 5.6.41 ...
- ubuntu linux root,Ubuntu 中的 root 用户:你应该知道的重要事情 | Linux 中国
原标题:Ubuntu 中的 root 用户:你应该知道的重要事情 | Linux 中国 当你刚开始使用 Linux 时,你将发现与 Windows 的很多不同.其中一个"不同的东西" ...
- linux默认开启sudo_Sudo漏洞允许非特权Linux和macOS用户以root身份运行命令
原标题:Sudo漏洞允许非特权Linux和macOS用户以root身份运行命令 苹果安全团队成员Joe Vennix发现了sudo实用程序中的一个重要漏洞,即在特定配置下,它可能允许低特权用户或恶意程 ...
- linux nobody 用户,Linux CentOS7安装配置tomcat8(使用非root用户/nobody用户运行)
Tomcat主要用于运行JavaWeb项目,打开:tomcat8官方下载,可以看到官方有Binary Distributions和Source Code Distributions两大类,前者是二进制 ...
- linux tomcat守护_linux下非root用户运行tomcat
# 前言:为什么要使用非root用户运行tomcat root用户启动tomcat有一个严重的问题,那就是tomcat具有root权限. 这意味着你的任何一个页面脚本(html/js)都具有root权 ...
最新文章
- JavaScript权威Douglas Crockford:代码阅读和每个人都该学的编程
- html5-article元素
- java 数组 包含_Java中高效的判断数组中某个元素是否存在详解
- JSON与XML的区别比较(非常全面)
- 一篇文章搞定百度OCR图片文字识别API
- 教你在Excel里做GA的水平百分比图的详细步骤(图文教程)-成为excel大师(1)...
- 思科交换机Portfast和Uplinkfast配置实验
- matlab朴素贝叶斯手写数字识别_从“手写数字识别”学习分类任务
- Oracle数据库被锁
- 产品结构图、功能结构图、信息结构图,区别在这里
- d1分辨率和960分辨率_选择2D艺术资产的分辨率
- 如何使用BitBar将几乎所有信息添加到Mac的菜单栏中
- 国光师傅文件上传靶场练习
- Codeforces Round #467 (Div. 2) - D. Sleepy Game (找环)
- 创业冲突的五种解决方法是_避免创业合伙人之间发生冲突的四种方法
- QML实现闹钟的时间选择器
- 艺术 回文诗《璇玑图》
- 使用神经网络和深度学习构造围棋智能算法:实现棋盘落子编码
- 《传播学史》读后感优秀范文5000字
- SAP中的邮件通讯处理