linux capalibities

调整能力

在前面的文章中，我介绍了基于Linux功能的容器分离。

借助Linux功能，你可以分离根用户权限，形成更小的特权群。目前，在默认情况下，Docker容器只拥有以下功能。

CHOWN, DAC_OVERRIDE, FSETID, FOWNER, MKNOD, NET_RAW,
SETGID, SETUID, SETFCAP, SETPCAP, NET_BIND_SERVICE,
SYS_CHROOT, KILL, AUDIT_WRITE

在某些情况下，你可能要调整此列表，例如，如果你正在构建一个运行ntpd或crony的容器，那么需要能够修改主机的系统时间。由于需要CAP_SYS_TIME，该容器将无法运行。在Docker的旧版本中，容器必须在--privileged模式下运行，该模式关闭了所有的安全策略。

在Docker1.3版本中添加了

--cap-add

--cap-drop

docker run -d --cap-add SYS_TIME ntpd

其中只将SYS_TIME功能添加到了你的容器中。

另如，如果你的容器没有更改UID/GID的任何进程，你可以从容器中删除这些功能，使其更加安全。

docker run --cap-drop SETUID --cap-drop SETGID --cap-drop FOWNER fedora /bin/sh

# pscap | grep 2912
5417 2912 root sh chown, dac_override, fsetid, kill, setpcap, net_bind_service, net_raw, sys_chroot, mknod, audit_write, setfcap

或者你可以删除所有的功能后，再进行一一添加。

docker run --cap-drop ALL --cap-add SYS_TIME ntpd /bin/sh

# pscap | grep 2382
5417 2382 root sh sys_time