在Docker 容器中以 root 身份启动 app 是否合理?
答案:2 悬赏:20 手机版
解决时间 2021-03-09 22:40
- 提问者网友:山高云阔
- 2021-03-09 12:47
在Docker 容器中以 root 身份启动 app 是否合理?
最佳答案
- 五星知识达人网友:迟山
- 2021-03-09 13:24
首先必须说明一点,目前docker是不支持user namespace的,预计会在docker 1.8.0甚至更后才支持,这部分内容的支持社区主要由IBM公司在做。
回到docker的root问题上。
1.如果您希望不使用root而使用普通用户来运行app,那自然最好不过。app的用户性质决定其自身的权限有限。
2.如果不慎,或者图方便,在docker容器内部使用root运行app,那么不可否认,这个root和宿主机的root是同一个UID。但是,需要特别注意的是,容器内的root与宿主机上的root权限并不一定是相等的。
最主要的关键是,也没有以priviledge方式运行容器。如果启动priviledge特权模式,那么容器内的root和宿主机上的root在Capability方面拥有权限一致,此时容器内的root对宿主机的危害是非常大的。如果没有启动priviledge特权模式,那么容器内的root用户会缺少很多的Capability能力,比如没有SYS_ADMIN能力等。
总之,特权模式的存在会导致内外root的权限存在较大差异,这一点比较重要
回到docker的root问题上。
1.如果您希望不使用root而使用普通用户来运行app,那自然最好不过。app的用户性质决定其自身的权限有限。
2.如果不慎,或者图方便,在docker容器内部使用root运行app,那么不可否认,这个root和宿主机的root是同一个UID。但是,需要特别注意的是,容器内的root与宿主机上的root权限并不一定是相等的。
最主要的关键是,也没有以priviledge方式运行容器。如果启动priviledge特权模式,那么容器内的root和宿主机上的root在Capability方面拥有权限一致,此时容器内的root对宿主机的危害是非常大的。如果没有启动priviledge特权模式,那么容器内的root用户会缺少很多的Capability能力,比如没有SYS_ADMIN能力等。
总之,特权模式的存在会导致内外root的权限存在较大差异,这一点比较重要
全部回答
- 1楼网友:詩光轨車
- 2021-03-09 14:17
应该不是吧。
我要举报
如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
点此我要举报以上问答信息
大家都在看
推荐资讯