热门标签
热门文章
- 1【Python数据可视化】matplotlib之设置坐标:添加坐标轴名字、设置坐标范围、设置主次刻度、坐标轴文字旋转并标出坐标值_matplotlib设置xy轴刻度
- 2数据结构应用 - 栈
- 3喷药智能小车——附源代码_智能送药小车代码
- 4‘error:03000086:digital envelope routines::initialization“处理方法
- 5canopen
- 6大数据(四)主流大数据技术_主流的大数据技术
- 7python selenium打开新窗口,多窗口切换_selenium新开一个标签页
- 8人生需要执著——从二本三战到985博士_北理826专业课
- 9apriori数据集_Apriori算法详解
- 10用计算机打女生节快乐,2020年班级女生节快乐的祝福语
当前位置: article > 正文
Docker 守护进程配置之限制容器获取新的权限_no-new-privileges
作者:AllinToyou | 2024-04-24 07:35:26
赞
踩
no-new-privileges
描述
默认情况下,限制容器通过 suid 或 sgid 位获取附加权限。
- 1
安全出发点
一个进程可以在内核设置 no_new_priv。它支持 fork,clone 和 execve。no_new_priv 确保进程或者其子进程不会通过 suid 或 sgid
位获得任何其他特权。这样,很多危险的操作就降低安全风险。在守护进程级别进行设置可确保默认情况下,所有新容器不能获取新的权限。
- 1
- 2
审计方法
ps -ef | grep dockerd
- 1
结果判定
确保 --no-new-privileges 参数存在且未设置为 false。
- 1
修复措施
运行 Docker 守护进程使用如下命令:
- 1
dockerd --no-new-privileges
- 1
影响
no_new_priv 会阻止像 SELinux 这样的 LSM 访问当前进程的进程标签。
- 1
默认值
新容器不会获得新的权限。
- 1
声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:【wpsshop博客】
推荐阅读
相关标签
