# Docker容器執行時許可權和Linux系統功能

**相關Docker引數**
```
--cap-add: Add Linux capabilities
--cap-drop: Drop Linux capabilities
--privileged=false: Give extended privileges to this container
--device=[]: Allows you to run devices inside the container without the --privileged flag.
```

出於容器之間和容器與宿主機的安全隔離保護，在預設的Docker配置下，Docker容器是沒有系統許可權的。例如不能在一個Docker容器內，再執行一個Dokcer服務（譯者注：或者在容器內修改系統時間）。這是因為在預設情況下，容器內的程式不允許訪問任何宿主機上的裝置。只有獲得裝置訪問授權的容器，才可以訪問所有裝置(請參閱關於[cgroups](https://www.kernel.org/doc/Documentation/cgroup-v1/devices.txt)裝置的文件)。

當容器管理員執行`docker run --privileged`時，將允許Docker容器訪問宿主機上的所有裝置，並在AppArmor或SELinux中設定一些配置，使容器內的程式可以與容器外執行的程式幾乎一樣許可權來訪問宿主機。（有關執行`--privileged`引數的更多資訊，請訪問[Docker部落格](http://blog.docker.com/2013/09/docker-can-now-run-within-docker/)。）

如果想限制對特定裝置的訪問，可以使用`--device`引數。它允許您指定從容器內訪問的一個或多個裝置。
```
$ docker run --device=/dev/snd:/dev/snd ...
```

開啟`--device`引數後，容器內的程式預設將獲得這些裝置的`read`、`write`和`mknod`許可權。您也可以為每個`--device`引數，附加第三個`:rwm`選項來覆蓋預設的設定:
```
$ docker run --device=/dev/sda:/dev/xvdc --rm -it ubuntu fdisk  /dev/xvdc

Command (m for help): q
$ docker run --device=/dev/sda:/dev/xvdc:r --rm -it ubuntu fdisk  /dev/xvdc
You will not be able to write the partition table.

Command (m for help): q

$ docker run --device=/dev/sda:/dev/xvdc:w --rm -it ubuntu fdisk  /dev/xvdc
    crash....

$ docker run --device=/dev/sda:/dev/xvdc:m --rm -it ubuntu fdisk /dev/xvdc
fdisk: unable to open /dev/xvdc: Operation not permitted
```

除了` --privileged`之外，操作員還可以使用`--cap-add`和`--cap-drop`對功能進行細粒度控制。預設情況下，Docker有一個保留的預設功能列表。

**下表列出了Linux功能選項，這些選項是預設允許的，可以刪除。**

**下表顯示了預設情況下未授予的功能，可以手動新增這些功能。**

更多的參考資訊可以在 [capabilities(7) - Linux man page Linux](http://man7.org/linux/man-pages/man7/capabilities.7.html)手冊頁中找到

`--cap-add --cap-drop`兩個引數都支援值`ALL`，所以如果Docker管理員想要獲得除了`MKNOD`以外的所有Linux功能，可以使用:
```
$ docker run --cap-add=ALL --cap-drop=MKNOD ...
```

如果想與系統的網路堆疊進行互動，應該使用`--cap-add=NET_ADMIN`來修改網路介面，而不是使用`--privileged`。
```
$ docker run -it --rm ubuntu:14.04 ip link add dummy0 type dummy
RTNETLINK answers: Operation not permitted
$ docker run -it --rm --cap-add=NET_ADMIN ubuntu:14.04 ip link add dummy0 type dummy
```

要安裝一個基於FUSE的檔案系統，您需要結合`--cap-add`和`--device`:
```
$ docker run --rm -it --cap-add SYS_ADMIN sshfs sshfs sven@10.10.10.20:/home/sven /mnt
fuse: failed to open /dev/fuse: Operation not permitted
$ docker run --rm -it --device /dev/fuse sshfs sshfs sven@10.10.10.20:/home/sven /mnt
fusermount: mount failed: Operation not permitted
$ docker run --rm -it --cap-add SYS_ADMIN --device /dev/fuse sshfs
# sshfs sven@10.10.10.20:/home/sven /mnt
The authenticity of host '10.10.10.20 (10.10.10.20)' can't be established.
ECDSA key fingerprint is 25:34:85:75:25:b0:17:46:05:19:04:93:b5:dd:5f:c6.
Are you sure you want to continue connecting (yes/no)? yes
sven@10.10.10.20's password:
root@30aa0cfaf1b5:/# ls -la /mnt/src/docker
total 1516
drwxrwxr-x 1 1000 1000 4096 Dec 4 06:08 .
drwxrwxr-x 1 1000 1000 4096 Dec 4 11:46 ..
-rw-rw-r-- 1 1000 1000 16 Oct 8 00:09 .dockerignore
-rwxrwxr-x 1 1000 1000 464 Oct 8 00:09 .drone.yml
drwxrwxr-x 1 1000 1000 4096 Dec 4 06:11 .git
-rw-rw-r-- 1 1000 1000 461 Dec 4 06:08 .gitignore
....
```

預設的seccomp配置檔案將根據所選的功能進行調整，以允許使用功能所允許的功能，所以從Docker1.12之後的版本，不應該對此進行調整。在Docker 1.10和1.11中沒有這種情況，在新增功能時可能需要使用一個自定義的seccomp配置檔案或使用`--security-opt seccomp=unconfined`。

原文件連結： https://docs.docker.com/engine/reference/run/

Docker容器執行時許可權和Linux系統功能

相關文章