Docker容器运行时权限和Linux系统功能简单介绍

这篇文章主要介绍“Docker容器运行时权限和linux系统功能简单介绍”，在日常操作中，相信很多人在Docker容器运行时权限和Linux系统功能简单介绍问题上存在疑惑，小编查阅了各式资料，整理出简单好用的操作方法，希望对大家解答”Docker容器运行时权限和Linux系统功能简单介绍”的疑惑有所帮助！接下来，请跟着小编一起来学习吧！

Docker容器运行时权限和Linux系统功能

相关Docker参数

--cap-add: Add Linux capabilities--cap-drop: Drop Linux capabilities--privileged=false: Give extended privileges to this container--device=[]: Allows you to run devices inside the container without the --privileged flag.

出于容器之间和容器与宿主机的安全隔离保护，在默认的Docker配置下，Docker容器是没有系统权限的。例如不能在一个Docker容器内，再运行一个Dokcer服务（译者注：或者在容器内修改系统时间）。这是因为在默认情况下，容器内的进程不允许访问任何宿主机上的设备。只有获得设备访问授权的容器，才可以访问所有设备(请参阅关于cgroups设备的文档)。

当容器管理员执行docker run --privileged时，将允许Docker容器访问宿主机上的所有设备，并在AppArmor或SELinux中设置一些配置，使容器内的进程可以与容器外运行的进程几乎一样权限来访问宿主机。（有关运行--privileged参数的更多信息，请访问Docker博客。）

如果想限制对特定设备的访问，可以使用--device参数。它允许您指定从容器内访问的一个或多个设备。

$ docker run --device=/dev/snd:/dev/snd ...

开启--device参数后，容器内的进程默认将获得这些设备的read、write和mknod权限。您也可以为每个--device参数，附加第三个:rwm选项来覆盖默认的设置:

$ docker run --device=/dev/sda:/dev/xvdc --rm -it ubuntu fdisk  /dev/xvdcCommand (m for help): q$ docker run --device=/dev/sda:/dev/xvdc:r --rm -it ubuntu fdisk  /dev/xvdcYou will not be able to write the partition table.Command (m for help): q$ docker run --device=/dev/sda:/dev/xvdc:w --rm -it ubuntu fdisk  /dev/xvdc    crash....$ docker run --device=/dev/sda:/dev/xvdc:m --rm -it ubuntu fdisk  /dev/xvdcfdisk: unable to open /dev/xvdc: Operation not permitted

除了--privileged之外，操作员还可以使用--cap-add和--cap-drop对功能进行细粒度控制。默认情况下，Docker有一个保留的默认功能列表。

下表列出了Linux功能选项，这些选项是默认允许的，可以删除。

下表显示了默认情况下未授予的功能，可以手动添加这些功能。

更多的参考信息可以在 capabilities(7) - Linux man page Linux手册页中找到

--cap-add --cap-drop两个参数都支持值ALL，所以如果Docker管理员想要获得除了MKNOD以外的所有Linux功能，可以使用:

$ docker run --cap-add=ALL --cap-drop=MKNOD ...

如果想与系统的网络堆栈进行交互，应该使用--cap-add=NET_ADMIN来修改网络接口，而不是使用--privileged。

$ docker run -it --rm  ubuntu:14.04 ip link add dummy0 type dummyRTNETLINK answers: Operation not permitted$ docker run -it --rm --cap-add=NET_ADMIN ubuntu:14.04 ip link add dummy0 type dummy

要安装一个基于FUSE的文件系统，您需要结合--cap-add和--device:

$ docker run --rm -it --cap-add SYS_ADMIN sshfs sshfs sven@10.10.10.20:/home/sven /mntfuse: failed to open /dev/fuse: Operation not permitted$ docker run --rm -it --device /dev/fuse sshfs sshfs sven@10.10.10.20:/home/sven /mntfusermount: mount failed: Operation not permitted$ docker run --rm -it --cap-add SYS_ADMIN --device /dev/fuse sshfs# sshfs sven@10.10.10.20:/home/sven /mntThe authenticity of host '10.10.10.20 (10.10.10.20)' can't be established.ECDSA key fingerprint is 25:34:85:75:25:b0:17:46:05:19:04:93:b5:dd:5f:c6.Are you sure you want to continue connecting (yes/no)? yessven@10.10.10.20's passWord:root@30aa0cfaf1b5:/# ls -la /mnt/src/dockertotal 1516drwxrwxr-x 1 1000 1000   4096 Dec  4 06:08 .drwxrwxr-x 1 1000 1000   4096 Dec  4 11:46 ..-rw-rw-r-- 1 1000 1000     16 Oct  8 00:09 .dockerignore-rwxrwxr-x 1 1000 1000    464 Oct  8 00:09 .drone.ymldrwxrwxr-x 1 1000 1000   4096 Dec  4 06:11 .git-rw-rw-r-- 1 1000 1000    461 Dec  4 06:08 .gitignore....

默认的seccomp配置文件将根据所选的功能进行调整，以允许使用功能所允许的功能，所以从Docker1.12之后的版本，不应该对此进行调整。在Docker 1.10和1.11中没有这种情况，在添加功能时可能需要使用一个自定义的seccomp配置文件或使用--security-opt seccomp=unconfined。

到此，关于“Docker容器运行时权限和Linux系统功能简单介绍”的学习就结束了，希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习，快去试试吧！若想继续学习更多相关知识，请继续关注编程网网站，小编会继续努力为大家带来更多实用的文章！