1、什么是特权容器

Docker特权模式授予Docker容器对主机系统上所有设备的根权限。在特权模式下运行一个容器，使其具有主机的能力。例如，它能够修改App Arm和SELinux配置。

通过主机的内核功能和设备访问，你甚至可以在有特权的容器内安装一个新的Docker平台实例。本质上，这种模式允许在Docker内部运行Docker。

2、特权容器相关命令

2.1 检查是否是特权容器

docker inspect --format='{{.HostConfig.Privileged}}' [container_id]

命令返回true或者false来表示当前容器是否为特权容器。

2.2 启用特权容器

当我们想将容器变为特权容器时，只需要在run命令中添加-privileged选项让容器以特权模式运行即可。

docker run --privileged [image_name]

3、特权容器的安全隐患

就像在Linux系统中我们不建议使用root用户一样。在容器的特权模式下，会将主机的内核和硬件资源暴露给外网。因此，不建议在生产环境中使用特权容器。
通过特权容器可能出现的漏洞，它为恶意用户创造了控制系统的机会。因为在特权模式下，主机允许容器以root权限访问系统中的一切，为网络攻击打开了一个机会之窗。网络攻击者可以通过容器连接到主机，从而进一步对基础设施和配置进行入侵和篡改。最常见的情况是，合法用户滥用给定的权限进行恶意活动。

4、减少特权容器使用以避免docker容器权限提升

和电脑中病毒之后拔网线关电源的原理类似。防止docker的安全隐患，比如，权限提升的最佳方法就是不使用特权容器。
但是，当出现必须使用特权容器的场景时，我们可以将用户的命名空间进行映射，将容器中的root用户映射到主机中权限较低的非root用户上。
前往安装docke配置文件的默认路径：/etc/docker/daemon.json
在json文件中新加入一对键值对，key为userns-rmap,value为主机上需要映射的用户名，若输入default，则将有系统自动进行用户权限的映射分配

{"userns-remap": "default"
}

特权容器以及安全隐患的规避相关推荐

1. GCP发布Kaniko：在非特权容器和Kubernetes中构建容器镜像的工具

   \ 看新闻很累?看技术新闻更累?试试下载InfoQ手机客户端,每天上下班路上听新闻,有趣还有料! \ \\ Google发布了"Kaniko",一种用于在未授权容器或Kuberne ...

2. Docker特权容器与capability

   (1条消息) Docker 容器安全(1):我的容器真的需要privileged权限吗?_富士康质检员张全蛋的博客-CSDN博客_docker privileged

3. 云原生时代下，容器安全的“四个挑战”和“两个关键”

   作者 | 匡大虎 来源 | 阿里巴巴云原生公众号 云原生进程中的容器安全挑战 云原生的火热带来了企业基础设施和应用架构等技术层面的革新,在云原生的大势所趋下,越来越多的企业选择拥抱云原生,在 CNCF ...

4. 【内核模块auth_rpcgss】netns引用计数泄露导致容器弹性网卡残留

   我们不久前定位了一个Linux内核bug,这个bug会影响所有在特权容器中启用了use-gss-proxy的Linux环境,表现为容器的网络命名空间(net namespace)无法彻底释放,导致容器 ...

5. runC爆严重安全漏洞，主机可被攻击！使用容器的快打补丁

   容器的安全性一直是容器技术的一个短板.关于容器最大的安全隐患是攻击者可以使用恶意程序感染容器,更严重时可以攻击主机系统. 2月11日,安全研究员Adam Iwaniuk和BorysPopławski发 ...

6. runC 严重漏洞，使用容器的快打补丁；辩论界人机大战，人类获胜

   (给技术最前线加星标,每天看技术热点) 转自:开源中国.solidot.cnBeta.腾讯科技.快科技等 [技术资讯] 0.runC 严重漏洞,使用容器的快打补丁 runC 是 Docker,Kube ...

7. Docker容器化实战第三课 dockerfile介绍、容器安全与监控讲解

   06 最佳实践:如何在生产中编写最优 Dockerfile? 在介绍 Dockerfile 最佳实践前,这里再强调一下,生产实践中一定优先使用 Dockerfile 的方式构建镜像. 因为使用 Doc ...

8. Salesforce 容器化 ISV 场景下的软件供应链安全落地实践

   随着企业 IT 数字化转型演变进程,越来越多的企业采用云原生化架构升级的方式,改善应用开发运维迭代的效率,加速企业业务创新迭代,改进资源弹性管理和迁移的效率,帮助企业降本增效.但是由于云原生弹性.敏捷 ...

9. 初识docker容器（优势真的巨大，比虚拟机好用多了）

   目录 背景: 一.名称空间 Namespaces Docker Engine在Linux.上使用以下名称空间: 二.docker与虚拟化 2.1cgroups 2.2全虚拟.半虚拟.容器技术 2.3那 ...

最新文章

1. oracle 年龄计算 岁 月 天
2. 快递信息css3手风琴代码_用纯CSS实现手风琴效果的示例代码
3. Python教程：json中encode与decode区别
4. 【面试题视频讲解】TreeSet使用示例
5. 通过测试想到的一些问题
6. shell脚本每日一练（三）
7. 计算机网络符号显示叹号,在Win7系统中，电脑网络出现感叹号怎么解决？
8. 论文Express | 英伟达最新：多模态无监督图像迁移网络框架
9. 进程间通信的11种方法
10. vc编程经典网址推荐
11. Matlab画六边形蜂窝网络点（任意个数）
12. adb shell循环命令_Android ADB命令详解
13. 基于Python的动漫人物分类识别系统
14. Windows相关的DOS命令
15. cef异常处理_cefSharp在XP下使得程序崩溃记录
16. 古代玻璃制品的化学成分分析与鉴别
17. python中使用linux命令
18. 图片按照原来比例进行缩放
19. Suggestion: use tools:overrideLibrary
20. 发布网站的时候系统找不到指定文件的解决办法！

热门文章

1. 运气不好,看天狗吐月亮
2. 文本分类(一) | (9) 项目组织结构
3. 【matlab选题推荐四】基于图像识别的人脸考勤系统
4. 多组差异分析的可视化，这样做最省心！
5. Sapling: 一款 Facebook 开源跨平台、高度可扩展、兼容 Git 的源码控制系统
6. 好用的免费 PDF 密码删除工具有哪些？
7. rg1 蓝光危害rg0_LED灯具蓝光危害评估方法
8. C#调用matlab
9. 路由器修改dhcp服务器地址,修改路由器dhcp服务器地址
10. matlab 电路频率响应_2020年中青杯全国大学生数学建模竞赛——A题 集成电路通道布线...