Menu

目录

使用限制

  • lcrd默认Capabilities(白名单)配置如下,普通容器进程将默认携带:

    "CAP_CHOWN",
    "CAP_DAC_OVERRIDE",
    "CAP_FSETID",
    "CAP_FOWNER",
    "CAP_MKNOD",
    "CAP_NET_RAW",
    "CAP_SETGID",
    "CAP_SETUID",
    "CAP_SETFCAP",
    "CAP_SETPCAP",
    "CAP_NET_BIND_SERVICE",
    "CAP_SYS_CHROOT",
    "CAP_KILL",
    "CAP_AUDIT_WRITE"
    
  • 默认的权能配置,包含了CAP_SETUID和CAP_FSETID,如host和容器共享目录,容器可对共享目录的二进制文件进行+s为设置,host上的普通用户可使用其进行提权。CAP_AUDIT_WRITE,容器可以对host写入,存在一定的风险,如果使用场景不需要,推荐在启动容器的时候使用–cap-drop将其删除。

  • 增加Capabilities意味着容器进程具备更大的能力,同时也会开发更多的系统调用接口,自然具备更强的破坏能力。