それは、ファイルを変更するための十分な権限を持っているかどうかを判断するためには、Linuxシステムのチェックは、uidのプロセスとgidを作成した著作権管理Linuxシステムのuidとgidの責任があり、知識の一部は、Linuxシステムにおける権利の管理制御をすることが非常に重要ですむしろ、ユーザー名とユーザー・グループによる確認より。同様に、ドッカー容器共有にホスト上で同じカーネルを実行しているすべての容器はまた、共有権限管理として理解することができます。
ドッカーコンテナの著作権管理は、3つのケースに分けられます。
デフォルトで使用する1. root権限
rootユーザーまたは通常のユーザーとしてかどうか(ドッカコンテナを起動する権限を持っている)コンテナ内の権限を処理し、ユーザードッキングウィンドウコンテナを、開始していますルート!
コンテナのテストディスクを起動するユーザーの権利と特権をスリープ状態に睡眠の新規ユーザーは、root権限を持っています。
ドッキングウィンドウの実行-v /データ/ スリープ:/ 睡眠は --name -d 睡眠を - 1 Ubuntuの睡眠無限大
その後、「ドッキングウィンドウ」ファイルを書き込み、新しいleo_zhouファイルおよびホスト/データ/スリープパスで睡眠-1の容器に入り、
ドッキングウィンドウのexec -itの睡眠 - 1つのbash
root権限が正常に動作することができますし、まだファイル。
2.ドッカーコンテナ制限、ユーザーが開始する
新しい--user引数を、コンテナは睡眠指定されたユーザの打ち上げ顧客になり、root権限を持つファイルの操作を見つけることができません。また、カーネルのドッキングウィンドウコンテナは、コンピュータをホスト検証し、コンテナの同じ数と実際のホストのUID UID番号を見つけます。権限がある程度管理することができます。
3.名前空間の分離技術を使用し
た名前空間が分離技術である、ドッキングウィンドウの分離技術は、いくつかの特別なプロセスを作成するために、特定の名前空間を開くために使用することですが、名前空間を使用すると、条件付きです。Dockremapはによって、作成されるの/ etc / subuid及び/などsubuid /実際の又は自動隔離効果を達成するために、一般的なdockremap権限を使用して、コンテナにマッピングするID値に対応します。
①オープンCentOSにカーネルは、ユーザーの名前空間の機能を閉じました。
汚い--args = " namespace.unpriv_enable = 1 user_namespace.enable = 1 " --update-カーネル= " $(汚い--default-カーネル)" エコー " user.max_user_namespaces = 15076 " >> /etc/sysctl.confの
②の/ etc /ドッキングウィンドウを変更/ daemon.jso N-構成された、新しい「userns-リマップ」:「デフォルト 」 オプションは、デフォルトでは、デフォルトのユーザーのドッキングウィンドウが自動的に作成dockremapあり、その後、ドッキングウィンドウを再起動します。
この設定は慎重に変更する必要があり、既にがドッキングウィンドウ環境を展開している場合、このオプションを有効にするドッキングウィンドウコンテナを使用することはできません前に、それは、分離環境に切り替わります!
③Centosは手動でマッピング範囲のid値を入力する必要が
権利を達成するように、誰もなっていないが、それでもドッキングウィンドウコンテナ内で著作権管理の「根」が、実際には、通常のユーザー権限でいるファイルのパーミッションを見つけ、再び最後systemctl再開ドッキングウィンドウのテスト結果の後にアイソレーション効果。
