docker的user namespace功能

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了docker的user namespace功能相关的知识,希望对你有一定的参考价值。

docker的user namespace功能:

默认情况下:
容器默认是以root账号进入的,即使指定默认账号,用户也可以通过--user 0来切到root账号,容器里的root和宿主机的root是同一性质,-v挂载宿主机任意目录后,可通过容器里的root账号对宿主机数据进行破坏,风险很大

user namespace功能可以规避这一问题,user namespace可以让容器有一个“假”的root用户,它在容器内是root,被映射到容器外一个非root用户,也就是说user namespace实现了host users和container users之间的映射。

检查linux操作系统是否支持user namespace:

uname -a

cat /boot/config-xxxxx | grep CONFIG_USER_NS (显示为y即为支持)

Ubuntu 16.04配置docker使用user namespace:

vi /lib/systemd/system/docker.service

ExecStart=/usr/bin/dockerd --userns-remap=default -H fd:// --containerd=/run/containerd/containerd.sock

:wq

systemctl restart docker

ps -ef | grep dockerd (看到--userns-remap=default即生效了)

此时创建的容器里的root账号权限范围同创建容器的账号

以上是关于docker的user namespace功能的主要内容,如果未能解决你的问题,请参考以下文章

Docker学习总结(64)——快速理解 Docker 底层原理

Docker 基础技术:Linux Namespace(下)

Docker之Linux Namespace

《自己动手写Docker》书摘之一: Linux Namespace

docker 简介

从进程角度看docker容器