linux capalibities
2019-08-09 01:39
465 查看
linux进程能力管理
安装能力查看工具集
yum install libcap-ng-utils
主要包含以下工具
[root@thatsit ~]# rpm -ql libcap-ng-utils|grep bin /usr/bin/captest /usr/bin/filecap /usr/bin/netcap /usr/bin/pscap [root@thatsit ~]#
工具使用
查看某个进程的capabilities
[root@thatsit ~]# pscap |grep 36010 35660 36010 root java chown, dac_override, fowner, fsetid, kill, setgid, setuid, setpcap, net_bind_service, net_raw, sys_chroot, mknod, audit_write, setfcap [root@thatsit ~]#
相关链接
文章摘抄
调整能力
在前面的文章中,我介绍了基于Linux功能的容器分离。借助Linux功能,你可以分离根用户权限,形成更小的特权群。目前,在默认情况下,Docker容器只拥有以下功能。
CHOWN, DAC_OVERRIDE, FSETID, FOWNER, MKNOD, NET_RAW, SETGID, SETUID, SETFCAP, SETPCAP, NET_BIND_SERVICE, SYS_CHROOT, KILL, AUDIT_WRITE在某些情况下,你可能要调整此列表,例如,如果你正在构建一个运行ntpd或crony的容器,那么需要能够修改主机的系统时间。由于需要CAP_SYS_TIME,该容器将无法运行。在Docker的旧版本中,容器必须在--privileged模式下运行,该模式关闭了所有的安全策略。
在Docker1.3版本中添加了
--cap-add和--cap-drop。现在为了运行ntpd容器,你可以只需运行:docker run -d --cap-add SYS_TIME ntpd其中只将SYS_TIME功能添加到了你的容器中。
另如,如果你的容器没有更改UID/GID的任何进程,你可以从容器中删除这些功能,使其更加安全。
docker run --cap-drop SETUID --cap-drop SETGID --cap-drop FOWNER fedora /bin/sh# pscap | grep 2912 5417 2912 root sh chown, dac_override, fsetid, kill, setpcap, net_bind_service, net_raw, sys_chroot, mknod, audit_write, setfcap或者你可以删除所有的功能后,再进行一一添加。
docker run --cap-drop ALL --cap-add SYS_TIME ntpd /bin/sh# pscap | grep 2382 5417 2382 root sh sys_time
相关文章推荐
- Linux下dns解析服务:部署、正向解析、反向解析、双向解析、加密等
- 如何使用Linux FTP命令传输文件
- Linux ps 命令用法详解
- Linux下实现不活动用户登录超时后自动登出
- Linux中创建大文件并作为文件系统使用
- 如何在 Linux 中更改 SSH 端口
- KDE存在零日漏洞,让攻击者在Linux系统中执行命令
- Linux进程间通信——信号
- 大数据——linux安装mysql,并使用hive连接步骤详解及报错解决!!!
- Linux下数据同步之scp与rsync的基本用法
- 教老婆学Linux运维(一)初识Linux
- Linux初学者必学指令
- 【Linux】一步一步学Linux——lsattr命令(116)
- [Linux] Ubuntu Server18 python3.7 虚拟环境
- 【Linux】一步一步学Linux——chattr命令(115)
- linux命令查看已开放的端口和关闭防火墙
- 肥猫学习日记---------------Linux下实现rm命令
- Linux 中常用软件的安装
- 每个程序员都可以「懂」一点 Linux
- 肥猫学习日记-------------实现Linux cp命令