博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
docker的user namespace功能
阅读量:5847 次
发布时间:2019-06-18

本文共 987 字,大约阅读时间需要 3 分钟。

docker的user namespace功能:

默认情况下:

容器默认是以root账号进入的,即使指定默认账号,用户也可以通过--user 0来切到root账号,容器里的root和宿主机的root是同一性质,-v挂载宿主机任意目录后,可通过容器里的root账号对宿主机数据进行破坏,风险很大

user namespace功能可以规避这一问题,user namespace可以让容器有一个“假”的root用户,它在容器内是root,被映射到容器外一个非root用户,也就是说user namespace实现了host users和container users之间的映射(只能同时支持1个账号,无法同时支持多个账号)。

检查linux操作系统是否支持user namespace:

uname -a

cat /boot/config-xxxxx | grep CONFIG_USER_NS (显示为y即为支持)

Ubuntu 16.04配置docker使用user namespace:

vi /lib/systemd/system/docker.service

ExecStart=/usr/bin/dockerd --userns-remap=default -H fd:// --containerd=/run/containerd/containerd.sock

:wq

注:

--userns-remap=可以写default,default就是dockerremap账号,也可以写具体的账号名

systemctl restart docker

ps -ef | grep dockerd (看到--userns-remap=default即生效了)

vi /etc/subuid

dockremap:1008:65536

:wq

注:

1008为宿主机执行容器的账号uid,可为本地账号uid,也可为nis账号uid

systemctl restart docker

账号启动容器时需使用root账号,可以加--user=0,如果image里没调默认账号也是root,容器里会将宿主机账号的已有数据属主为root,在容器里root生成的数据在宿主机里显示为正常账号权限

转载于:https://blog.51cto.com/yangzhiming/2384688

你可能感兴趣的文章
理解React组件的生命周期
查看>>
Git 常用命令
查看>>
SQL分页查询【转】
查看>>
HDU 2094 产生冠军
查看>>
HDU 2289 Cup (二分)
查看>>
C#中使用Monitor类、Lock和Mutex类来同步多线程的执行
查看>>
【面试&笔试】ASP.NET的相关问题
查看>>
【Android】Android布局中实现圆角边框
查看>>
动态规划--图像压缩
查看>>
SoapUI Pro Project Solution Collection-XML assert
查看>>
[Jobdu] 题目1139:最大子矩阵
查看>>
[翻译] 使用CSS进行文字旋转
查看>>
在freebsd下安装vim(Debian下类似)
查看>>
Ubuntu 11.04 DHCP server 和 ipv6 备忘
查看>>
玩玩反射 - 刚写的一个动态获取属性值的例子
查看>>
[SQL in Azure] Configure a VNet to VNet Connection
查看>>
读取本地已有的.db数据库
查看>>
滴滴大数据算法大赛Di-Tech2016参赛总结
查看>>
C#发现之旅第十一讲 使用反射和特性构造自己的ORM框架
查看>>
SPOJ 1182 Sorted bit squence
查看>>