Docker容器運行時權(quán)限和Linux系統(tǒng)功能簡單介紹

這篇文章主要介紹“Docker容器運行時權(quán)限和Linux系統(tǒng)功能簡單介紹”，在日常操作中，相信很多人在Docker容器運行時權(quán)限和Linux系統(tǒng)功能簡單介紹問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”Docker容器運行時權(quán)限和Linux系統(tǒng)功能簡單介紹”的疑惑有所幫助！接下來，請跟著小編一起來學(xué)習(xí)吧！

Docker容器運行時權(quán)限和Linux系統(tǒng)功能

相關(guān)Docker參數(shù)

--cap-add: Add Linux capabilities
--cap-drop: Drop Linux capabilities
--privileged=false: Give extended privileges to this container
--device=[]: Allows you to run devices inside the container without the --privileged flag.

出于容器之間和容器與宿主機的安全隔離保護，在默認的Docker配置下，Docker容器是沒有系統(tǒng)權(quán)限的。例如不能在一個Docker容器內(nèi)，再運行一個Dokcer服務(wù)（譯者注：或者在容器內(nèi)修改系統(tǒng)時間）。這是因為在默認情況下，容器內(nèi)的進程不允許訪問任何宿主機上的設(shè)備。只有獲得設(shè)備訪問授權(quán)的容器，才可以訪問所有設(shè)備(請參閱關(guān)于 cgroups設(shè)備的文檔)。

當容器管理員執(zhí)行docker run --privileged時，將允許Docker容器訪問宿主機上的所有設(shè)備，并在AppArmor或SELinux中設(shè)置一些配置，使容器內(nèi)的進程可以與容器外運行的進程幾乎一樣權(quán)限來訪問宿主機。（有關(guān)運行--privileged參數(shù)的更多信息，請訪問 Docker博客。）

如果想限制對特定設(shè)備的訪問，可以使用--device參數(shù)。它允許您指定從容器內(nèi)訪問的一個或多個設(shè)備。

$ docker run --device=/dev/snd:/dev/snd ...

開啟--device參數(shù)后，容器內(nèi)的進程默認將獲得這些設(shè)備的read、write和mknod權(quán)限。您也可以為每個--device參數(shù)，附加第三個:rwm選項來覆蓋默認的設(shè)置:

$ docker run --device=/dev/sda:/dev/xvdc --rm -it ubuntu fdisk  /dev/xvdc
Command (m for help): q
$ docker run --device=/dev/sda:/dev/xvdc:r --rm -it ubuntu fdisk  /dev/xvdc
You will not be able to write the partition table.
Command (m for help): q
$ docker run --device=/dev/sda:/dev/xvdc:w --rm -it ubuntu fdisk  /dev/xvdc
    crash....
$ docker run --device=/dev/sda:/dev/xvdc:m --rm -it ubuntu fdisk  /dev/xvdc
fdisk: unable to open /dev/xvdc: Operation not permitted

除了--privileged之外，操作員還可以使用--cap-add和--cap-drop對功能進行細粒度控制。默認情況下，Docker有一個保留的默認功能列表。

下表列出了Linux功能選項，這些選項是默認允許的，可以刪除。

下表顯示了默認情況下未授予的功能，可以手動添加這些功能。

更多的參考信息可以在 capabilities(7) - Linux man page Linux手冊頁中找到

--cap-add --cap-drop兩個參數(shù)都支持值ALL，所以如果Docker管理員想要獲得除了MKNOD以外的所有Linux功能，可以使用:

$ docker run --cap-add=ALL --cap-drop=MKNOD ...

如果想與系統(tǒng)的網(wǎng)絡(luò)堆棧進行交互，應(yīng)該使用--cap-add=NET_ADMIN來修改網(wǎng)絡(luò)接口，而不是使用--privileged。

$ docker run -it --rm  ubuntu:14.04 ip link add dummy0 type dummy
RTNETLINK answers: Operation not permitted
$ docker run -it --rm --cap-add=NET_ADMIN ubuntu:14.04 ip link add dummy0 type dummy

要安裝一個基于FUSE的文件系統(tǒng)，您需要結(jié)合--cap-add和--device:

$ docker run --rm -it --cap-add SYS_ADMIN sshfs sshfs sven@10.10.10.20:/home/sven /mnt
fuse: failed to open /dev/fuse: Operation not permitted
$ docker run --rm -it --device /dev/fuse sshfs sshfs sven@10.10.10.20:/home/sven /mnt
fusermount: mount failed: Operation not permitted
$ docker run --rm -it --cap-add SYS_ADMIN --device /dev/fuse sshfs
# sshfs sven@10.10.10.20:/home/sven /mnt
The authenticity of host '10.10.10.20 (10.10.10.20)' can't be established.
ECDSA key fingerprint is 25:34:85:75:25:b0:17:46:05:19:04:93:b5:dd:5f:c6.
Are you sure you want to continue connecting (yes/no)? yes
sven@10.10.10.20's password:
root@30aa0cfaf1b5:/# ls -la /mnt/src/docker
total 1516
drwxrwxr-x 1 1000 1000   4096 Dec  4 06:08 .
drwxrwxr-x 1 1000 1000   4096 Dec  4 11:46 ..
-rw-rw-r-- 1 1000 1000     16 Oct  8 00:09 .dockerignore
-rwxrwxr-x 1 1000 1000    464 Oct  8 00:09 .drone.yml
drwxrwxr-x 1 1000 1000   4096 Dec  4 06:11 .git
-rw-rw-r-- 1 1000 1000    461 Dec  4 06:08 .gitignore
....

默認的seccomp配置文件將根據(jù)所選的功能進行調(diào)整，以允許使用功能所允許的功能，所以從Docker1.12之后的版本，不應(yīng)該對此進行調(diào)整。在Docker 1.10和1.11中沒有這種情況，在添加功能時可能需要使用一個自定義的seccomp配置文件或使用--security-opt seccomp=unconfined。

到此，關(guān)于“Docker容器運行時權(quán)限和Linux系統(tǒng)功能簡單介紹”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識，請繼續(xù)關(guān)注億速云網(wǎng)站，小編會繼續(xù)努力為大家?guī)砀鄬嵱玫奈恼拢?/p>