我需要向容器添加 SYS_ADMIN 功能,以便能够在容器内绑定挂载。但我有安全方面的顾虑(请参阅https://lwn.net/Articles/486306/和 https://rhelblog.redhat.com/2016/11/30/container-tidbits-adding-capabilities-to-a-container/)。
是否有实际示例说明将 SYS_ADMIN 功能添加到容器的副作用?另一个问题是,我听说可以从具有 SYS_ADMIN 功能的容器中脱离出来。但如何实现呢?
非常感谢。
答案1
请注意,为进程赋予 SYS_ADMIN 能力几乎等于取消了它的所有隔离。一般来说,您不应该这样做,但如果出于某种原因绝对需要,知道您可以这样做会很有帮助。
此外,--cap-add=SYS_ADMIN与交换机相比,使用该命令授予容器的功能子集较小--privileged,因此最好尽可能使用。尝试使用--cap-add并查看它是否提供您需要的访问权限。