特权模式
securityContext:
capabilities:
add:
- SYS_ADMIN
- DAC_READ_SEARCH
privileged: true
https://www.kubernetes.org.cn/security-context-psp
https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/security-context/#%E6%8E%A5%E4%B8%8B%E6%9D%A5
这段代码是Kubernetes中的Pod配置文件中的securityContext部分。它用于定义容器的安全上下文。
capabilities字段指定了容器可以具备的特权。在这个例子中,容器被授予了SYS_ADMIN和DAC_READ_SEARCH的能力。
SYS_ADMIN代表系统管理员权限,允许容器对主机系统进行高级操作。DAC_READ_SEARCH代表读取和搜索文件的权限,允许容器对主机文件系统进行访问。
privileged字段设置为true,表示容器将以特权模式运行。这意味着容器将具有更高的权限,可以执行更敏感和特权的操作。
通过使用这些配置,您可以在Kubernetes集群中配置容器的安全性和权限级别。请注意,在为容器设置特权模式时,需要谨慎考虑潜在的安全风险,并确保只向可信的容器授予特权。
Docker
要查看容器是否开启了特权模式,可以使用以下命令:
使用 docker ps -a 命令列出所有容器的信息。找到您感兴趣的容器,并记下其容器ID或名称。使用 docker inspect
请注意,只有在具有足够权限的情况下,才能运行 docker 命令。
containerd
nerdctl ps -a | grep xxx
nerdctl inspect bbed5136dc28 | grep Privileged ???