日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

能力機(jī)制（Capability）是 Linux 內(nèi)核一個強(qiáng)大的特性，可以提供細(xì)粒度的權(quán)限訪問控制。 Linux 內(nèi)核自 2.2 版本起就支持能力機(jī)制，它將權(quán)限劃分為更加細(xì)粒度的操作能力，既可以作用在進(jìn)程上，也可以作用在文件上。

創(chuàng)新互聯(lián)是一家專注網(wǎng)站建設(shè)、網(wǎng)絡(luò)營銷策劃、微信小程序、電子商務(wù)建設(shè)、網(wǎng)絡(luò)推廣、移動互聯(lián)開發(fā)、研究、服務(wù)為一體的技術(shù)型公司。公司成立十載以來，已經(jīng)為上千效果圖設(shè)計各業(yè)的企業(yè)公司提供互聯(lián)網(wǎng)服務(wù)?，F(xiàn)在，服務(wù)的上千客戶與我們一路同行，見證我們的成長；未來，我們一起分享成功的喜悅。

例如，一個 Web 服務(wù)進(jìn)程只需要綁定一個低于 1024 的端口的權(quán)限，并不需要 root 權(quán)限。那么它只需要被授權(quán) net_bind_service 能力即可。此外，還有很多其他的類似能力來避免進(jìn)程獲取 root 權(quán)限。

默認(rèn)情況下，Docker 啟動的容器被嚴(yán)格限制只允許使用內(nèi)核的一部分能力。

使用能力機(jī)制對加強(qiáng) Docker 容器的安全有很多好處。通常，在服務(wù)器上會運(yùn)行一堆需要特權(quán)權(quán)限的進(jìn)程，包括有 ssh、cron、syslogd、硬件管理工具模塊（例如負(fù)載模塊）、網(wǎng)絡(luò)配置工具等等。容器跟這些進(jìn)程是不同的，因為幾乎所有的特權(quán)進(jìn)程都由容器以外的支持系統(tǒng)來進(jìn)行管理。

• ssh 訪問被主機(jī)上ssh服務(wù)來管理；
• cron 通常應(yīng)該作為用戶進(jìn)程執(zhí)行，權(quán)限交給使用它服務(wù)的應(yīng)用來處理；
• 日志系統(tǒng)可由 Docker 或第三方服務(wù)管理；
• 硬件管理無關(guān)緊要，容器中也就無需執(zhí)行 udevd 以及類似服務(wù)；
• 網(wǎng)絡(luò)管理也都在主機(jī)上設(shè)置，除非特殊需求，容器不需要對網(wǎng)絡(luò)進(jìn)行配置。

從上面的例子可以看出，大部分情況下，容器并不需要“真正的” root 權(quán)限，容器只需要少數(shù)的能力即可。為了加強(qiáng)安全，容器可以禁用一些沒必要的權(quán)限。

• 完全禁止任何 mount 操作；
• 禁止直接訪問本地主機(jī)的套接字；
• 禁止訪問一些文件系統(tǒng)的操作，比如創(chuàng)建新的設(shè)備、修改文件屬性等；
• 禁止模塊加載。

這樣，就算攻擊者在容器中取得了 root 權(quán)限，也不能獲得本地主機(jī)的較高權(quán)限，能進(jìn)行的破壞也有限。

默認(rèn)情況下，Docker采用 白名單 機(jī)制，禁用 必需功能 之外的其它權(quán)限。 當(dāng)然，用戶也可以根據(jù)自身需求來為 Docker 容器啟用額外的權(quán)限。

文章標(biāo)題：創(chuàng)新互聯(lián)Docker教程：Docker內(nèi)核能力機(jī)制
分享地址：http://www.dlmjj.cn/article/cccedcs.html