用户权限运行,并且这个 root 用户和宿主机中的 root 是同一个用户。听起来是不是很可怕,因为这就意味着一旦容器中的进程有了适当的机会,它就可以控制宿主机上的一切!本文我们将尝试了解用户名、组名、用户 id(uid)和组 id(gid)如何在容器内的进程和主机系统之间映射,这对于系统的安全来说是非常重要的。说明:本文的演示环境为 ubuntu 16.04(下图来自互联网)。
调用来决定是否应该为某个请求授予特权。比如当进程试图写入文件时,内核会检查创建进程的 uid 和 gid,以确定它是否有足够的权限修改文件。注意,内核使用的是 uid 和 gid,而不是用户名和组名。
内核控制的 uid 和 gid 则仍然只有一套。所以同一个 uid 在宿主机和容器中代表的是同一个用户(即便在不同的地方显示了不同的用户名)。显示用户名的 Linux 工具并不属于内核(比如 id 等命令),所以我们可能会看到同一个 uid 在不同的容器中显示为不同的用户名。但是对于相同的 uid 不能有不同的特权,即使在不同的容器中也是如此。
》,你需要注意的是到目前为止,docker 默认并没有启用 user namesapce,这也是本文讨论的情况。笔者会在接下来的文章中介绍如何配置 docker 启用 user namespace。
$ docker run -d --name sleepme ubuntu infinity
$ aux |
容器内的 root 用户和宿主机上的 root 用户是同一个吗?
$ docker run -- -it -=/testv -v $()/testv:/testv ubuntu
-r -u -,]
$ docker build -t test .
$ docker run -d --name sleepme test
$ docker exec -it sleepme bash
$ docker run -d --name sleepme -=/testv -v $()/testv:/testv test
在容器中 testfile 的所有者居然变成了 appuser,当然 appuser 也就有权限读写该文件。
$ docker run -d --user --name sleepme ubuntu infinity
$ docker exec -it sleepme bash
$ docker run -d test
$ docker run --user -d test