1回答
NET_ADMIN功能的安全含义
、、、、
我正在尝试理解在--cap-add=NET_ADMIN中运行容器的安全含义。容器将在k8s集群中运行,它们将执行用户提供的代码(我们无法控制,并且可能是恶意的)。据我所知,除非我添加--network host标志,否则容器将只能更改它们自己的网络堆栈。因此,它们可以破坏自己的网络,但不能以任何方式影响主机或其他容器。 这是正确的吗?在决定这样做是否安全时,有什么考虑因素吗?
浏览 150提问于2019-09-27得票数 0
回答已采纳
为了理解Kubernetes中的安全上下文和功能,我创建了以下pod描述:kind: Pod name: app securityContextsleep securityContext: capabilities : 在这
浏览 0提问于2020-04-05得票数 6
根据的说法,必须将privileged scc授予服务帐户才能运行istio。oc adm policy add-scc-to-user privileged -z <target service account> -n <target-namespace>
我的问题是,为什么我需要授予
浏览 2提问于2018-07-31得票数 0
我已经构建了一个包含tshark的坞映像(它是我将用于从库伯内特斯吊舱进行各种手动调试的映像)。 containers: capabilities: - NET_ADMINerror: error validating是什么阻止我设置:
浏览 10提问于2020-04-22得票数 8
回答已采纳
1回答
9ee961d90990 ifconfig我可以直接启动具有扩展功能的容器(我已经添加了net_admin 1),但是是否有任何方法来检查运行此命令所需的系统功能?使用--privileged启动容器是可能的,可以执行此操作,并践踏与坞程序相关的所有安全性,但如果可能的话,我宁愿
浏览 0提问于2016-06-27得票数 7
我希望在Docker容器中运行Nmap工具,但不使用默认的root用户帐户。我已经通过setcap设置了(希望)正确的功能。不幸的是,当我试图运行它时,我只得到了“不允许的操作”错误。这是我的码头文件:
ENV LANG='en_US.UTF-8' LANGUAGE='en_US
浏览 0提问于2021-03-07得票数 1
回答已采纳
2回答
我正在尝试创建一个带有python脚本的对接者映像,该脚本可以使用openVPN连接到API,但是,我似乎无法让openVPN工作。我有我的码头文件RUN mkdir /config
ADD ./config/.另外,我需要将容器作为Azure中的容器实例运行。
浏览 11提问于2021-06-21得票数 1
回答已采纳
如何在docker容器中运行具有附加功能的脚本,如NET_ADMIN 我正在测试一些我想要在需要NET_ADMIN权限的docker镜像中运行的命令。例如,这是可行的: docker run --rm -it --cap-add 'NET_ADMIN' debian:stable-slim "iptables -L" 但是如果我想要执行一个脚本(通过update
> apt-get -y install i
浏览 92提问于2020-09-19得票数 0
tcp -m tcp --dport 4096 -j udp2rawDwrW_191630ce_C0DROP all -- anywhere anywhere
而当我登录到容器所在的节点并运行sudo iptalbes --table filter -L时,我看不到相同的结果。我在想,默认情况下会删除previle
浏览 30提问于2020-02-15得票数 1
回答已采纳
我在kubernetes集群中设置了一个openvpn服务,问题是我之前已经这样做了,并保存了图表配置,但现在我不能真正解决这个问题:LE:在集装箱和码头上工作,看起来这是crio的问题
浏览 231提问于2019-10-21得票数 0
例如,假设我有一个需要NET_ADMIN功能的容器(例如,保留为容器)。
当容器运行时,如何检查实际提供的功能,以便添加日志/抛出错误?
浏览 4提问于2017-10-12得票数 3
回答已采纳
我有一个web服务(网页),允许用户配置主机的网络接口(它基本上是一个用于配置主机NIC的网页)。现在,我们正在考虑将这种服务转移到码头集装箱内。这意味着在容器内运行的sw应该能够修改停靠器运行的主机的网络接口的配置。
我试着用--network=host启动一个对接器,并使用ip命令来修改接口配置,但我已经尽力了(很明显?!)这可能是有意义的,因为从安全的角度来看,这可能是一个问题,更不用说您正在更改其他可能正在运行的</e
浏览 4提问于2016-10-16得票数 0
回答已采纳
是否可以在容器实际启动后添加功能(例如: NET_ADMIN)?我正在寻找一种选择,如果有可能以某种方式将这种能力提供给这个容器。
浏览 0提问于2016-08-04得票数 13
回答已采纳
我的scan.py代码是-- print " %s = %s" % (desc, value)
根据文件(在最后的注需要设置blupe-helper在不使用sudo.的情况下运行代码的功能根据的<
浏览 1提问于2019-01-13得票数 0
回答已采纳
1回答
我试图通过容器A (10.10.1.3,proxy,安装在透明代理模式)将容器B的tcp流量(10.10.1.2,使用mysql的自定义二进制文件并在端口4242上运行)路由到外部,它们在桥模式下共享相同的用户定义的码头网络但是当我改变路由时;因为它必须返回到容器A;容器B不能到达任何东西,一个简单的ping google.com超时。编辑:
当尝试ping/curl google.com
浏览 0提问于2019-01-18得票数 7
Linux功能应用于可执行文件。如果我向容器添加功能,这意味着什么?这是我的容器securityContext: runAsUser: 1008 add:但是我的任务不能创建原始套接字。那么,在打包码头映像时,我应该将功能应用于可执行文件吗?
浏览 4提问于2020-12-17得票数 1
回答已采纳
我在一个基于ubuntu的docker容器中调用openconnect。它成功连接到服务器并提示输入我的密码,但随后CSTP connected.Keepalive 20我搜索了TUNSETIFF这个词,每个答案都是关于命令没有在sudo中运行,但我已经是容器中的root
浏览 0提问于2015-05-30得票数 27
回答已采纳
我必须向iptables添加一些规则,在构建过程中它会给我一个错误,因为我需要privilege,所以有什么方法可以绕过它吗,我知道build中没有privilege选项,或者我可以在不运行它的情况下构建和映像吗
浏览 0提问于2016-12-12得票数 10
1回答
我已经应用了Pod安全策略,其中我拒绝特权容器,以根用户身份运行和权限提升,并在Istio init容器需要时允许NET_RAW和NET_ADMIN功能。我尝试在Istio configmap中为sidecar-injector更改init容器的UID,但istio-init容器失败,并指出它无法获取iptables。我试着启用Istio CNI,但这搞乱了我的EKS实现。工作节点立即被标记为不健康,因此我必须禁用Istio CNI并安装AWS VPC CNI。
任何建议/方向都将不胜感激。
浏览 19提问于2021-05-18得票数 1
由于我不希望它以root的形式运行,所以我将CAP_NET_ADMIN添加到二进制的功能中:$getcap target/release/tunnel然而,这是行不通的。我所读到的一切都表明,这是创建调谐器所需的唯一功能
浏览 0提问于2019-03-17得票数 8
回答已采纳
云服务器
ICP备案
对象存储
实时音视频
云直播
腾讯云开发者
