Docker安全策略--非root用户运行

linux-dash

A beautiful web dashboard for Linux

项目地址：https://gitcode.com/gh_mirrors/li/linux-dash

免费下载资源

hnmpf

14148人浏览 · 2018-09-27 15:20:48

hnmpf · 2018-09-27 15:20:48 发布

该学习笔记仅为有需要的学友学习使用，参考了

https://www.linuxidc.com/Linux/2016-11/137549.htm

https://blog.csdn.net/kongxx/article/details/52413332，

再次表示感谢！

拙见:

1、docker 自身已具备一定的安全测试，可以说是比较安全的，但由于docker本身共享了宿主机的资源，这会产生docker 进程权限过大的（特权）。

2、目前docker 容器内部基本都是root 权限运行的，当我们需要-v映射资源到宿主机时又存在另一个安全问题，这需要我们注意-v 的宿主机目录不能是docker的主进程目录且最好按需指定目录权限，少用特权属性（--privileged=true）

3、docker 已经支持非root 权限运行了，所以我们可以利用linux 的安全策略给 docker再加一层保护

4、容器对外暴露的资源默认仅有指定的端口，所以我们竟可能的减少端口映射。

非root运行：

1、创建新用户

创建一个用户名为：pengfeima

[root@localhost ~]# adduser pengfeima

为这个用户初始化密码，linux会判断密码复杂度，不过可以强行忽略：

[root@localhost ~]# passwd pengfeima
更改用户 pengfeima 的密码 。

2、授权

个人用户的权限只可以在本home下有完整权限，其他目录要看别人授权。而经常需要root用户的权限，这时候sudo可以化身为root来操作。我记得我曾经sudo创建了文件，然后发现自己并没有读写权限，因为查看权限是root创建的。

新创建的用户并不能使用sudo命令，需要给他添加授权。

sudo命令的授权管理是在sudoers文件里的。可以看看sudoers：

[root@localhost ~]# sudoers
bash: sudoers: 未找到命令...
[root@localhost ~]# whereis sudoers
sudoers: /etc/sudoers /etc/sudoers.d /usr/libexec/sudoers.so /usr/share/man/man5/sudoers.5.gz

找到这个文件位置之后再查看权限：

[root@localhost ~]# ls -l /etc/sudoers
-r--r----- 1 root root 4251 9月  25 15:08 /etc/sudoers

是的，只有只读的权限，如果想要修改的话，需要先添加w权限：

[root@localhost ~]# chmod -v u+w /etc/sudoers
mode of "/etc/sudoers" changed from 0440 (r--r-----) to 0640 (rw-r-----)

然后就可以添加内容了，在下面的一行下追加新增的用户：

[root@localhost ~]# vim /etc/sudoers


## Allow root to run any commands anywher  
root    ALL=(ALL)       ALL  
pengfeima  ALL=(ALL)       ALL  #这个是新增的用户

wq保存退出，这时候要记得将写权限收回：

[root@localhost ~]# chmod -v u-w /etc/sudoers
mode of "/etc/sudoers" changed from 0640 (rw-r-----) to 0440 (r--r-----)

3、创建docker组

sudo groupadd docker

将当前用户加入docker组

sudo gpasswd -a ${USER} docker

重新启动docker服务（下面是CentOS7的命令）

sudo systemctl restart docker

4、切换账号

使用 su pengfeima 切换到pengfeima

[root@k8smaster /]# su pengfeima
[pengfeima@k8smaster /]$

5、操作容器

使用sudo docker images 来查看镜像

[pengfeima@k8smaster /]$ sudo docker images
[sudo] password for pengfeima: 
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
[pengfeima@k8smaster /]$

所有docker的操作都需要使用sudo进行

GitHub 加速计划 / li / linux-dash

10.39 K

1.2 K

下载

A beautiful web dashboard for Linux

最近提交(Master分支：2 个月前 )

186a802e added ecosystem file for PM2 4 年前

5def40a3 Add host customization support for the NodeJS version 4 年前

GitCode 开源社区

旨在为数千万中国开发者提供一个无缝且高效的云端环境，以支持学习、使用和贡献开源项目。

更多推荐

[转载]在Windows环境下安装GNU Radio

转自：在Windows环境下安装GNURadio_恐弱智_新浪博客GNU Radio是用Python开发的，大部分开源的工程能够在Linux环境下运行良好，而Windows下却运行的很勉强，而且安装配置都很复杂。GNU Radio算是个例外了，不光提供了Windows的二进制安装，还有比较详细的说明。我是Python小白，所以折腾了好久才弄好，特意记录下来，免得以后再装还折腾。GNU Radio的

GitCode 开源社区

centOS 8 使用dnf安装Docker

DNF是什么？CentOS 8使用YUM软件包管理器版本v4.0.4。现在，该版本使用DNF(已删除YUM)。DNF是软件包管理器。它会在Linux发行版上安装，执行更新并删除软件包。使用DNF安装Docker跳过具有损坏依赖性的程序包一个有效的解决方案是使您的CentOS 8系统使用以下--nobest命令安装最符合条件的版本：sudo dnf install docker...

GitCode 开源社区

定时同步数据库表(mysql+linux+crontab)

sync.sh里面的参数需要改变，ip/username/password/database/tablesync.sh#!/bin/sh# Please change the IP and password of the data source db.# Then change the table name.filename=/home/nington/db/$(date +%Y-%m