关于linux下的capability

Linux的capability深入分析

从编程的角度深入分析了linux下capability的概念,相关工具 libcap

学以致用:

Docker容器往往被剥夺了很多能力,如此在容器启动之后想做一些能力之外的事情该咋办?其实,容器毕竟是容器,和虚拟机是有区别的,我们可以可以限制容器内进程的能力,我们也可以把一个具有超能力的进程放到容器里面执行,这样就可以做一些原本容器没有能力做到的事情,比如: docker exec –privileged … 。

如下图:

结论: 我们不担心容器是在非特权模式下启动的,只要我们想要权限,就可以通过某种方式(如: –privileged)将一个特权进程放到容器里面做特权的事情

留下评论

邮箱地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据