Docker中获取root【所有 | 有限授权】权限

Docker中获取root【所有 | 指定】权限问题抛出解决思路解决方案参考列表，致谢Docker中获取root【所有 | 指定】权限)问题抛出Docker容器中执行 date -s 2019-09-02 01:01:01 命令时，报出如下错误：date: cannot set date: Operation not permitted解决思路经查询了解到，docker容器的资源隔离使...

江畔独步

5299人浏览 · 2019-09-02 17:00:47

江畔独步 · 2019-09-02 17:00:47 发布

Docker中获取root【所有 | 指定】权限

Docker中获取root【所有 | 指定】权限)

问题抛出

Docker容器中执行 date -s 2019-09-02 01:01:01 命令时，报出如下错误：
date: cannot set date: Operation not permitted

解决思路

经查询了解到，docker容器的资源隔离使用了Linux宿主机的Capability机制，而Capability机制允许我们显示的将root的权限划分为不同的小的单元。默认情况下，docker容器中只支持如下Capability：

CHOWN, 
DAC_OVERRIDE, 
FSETID, 
FOWNER, 
MKNOD, 
NET_RAW, 
SETGID,  
SETUID, 
SETFCAP, 
SETPCAP, 
NET_BIND_SERVICE, 
SYS_CHROOT, 
KILL, 
AUDIT_WRITE

修改系统时钟需要用到 SYS_TIME 权限。

解决方案

①、一刀切，直接通过--privileged赋予全部最高权限

A) docker 命令行启动方式下，配置–privileged，范例：

[root@localhost ~]# docker run -it --privileged --name mycentos centos:latest /bin/bash

B) docker-compose.yml下，在service_name->app_name下配置：

privileged: true

②、仅通过--cap-add赋予时钟修改权限

A) docker 命令行启动方式下，范例：

[root@localhost ~]# docker run -it --cap-add SYS_TIME --rm --name mycentos centos:lastest /bin/bash

B) docker-compose.yml下，在service->app_name下配置：

#添加SYS_TIME能力
cap_add:
  - SYS_TIME

# 添加全部能力
cap_add:
  - ALL

# 删除NET_ADMIN，SYS_ADMIN能力
cap_drop:
  - NET_ADMIN
  - SYS_ADMIN

参考列表，致谢

1: https://www.jianshu.com/p/3cfd7e4d8c76
2: https://docs.docker.com/compose/compose-file/

向您推荐>>Eolink开发者社区

权威｜前沿｜技术｜干货｜国内首个API全生命周期开发者社区

更多推荐

深入理解 Mocha 测试框架：从零实现一个 Mocha

前言什么是自动化测试自动化测试在很多团队中都是Devops环节中很难执行起来的一个环节，主要原因在于测试代码的编写工作很难抽象，99%的场景都需要和业务强绑定，而且写测试代码的编写工作量往往比编写实际业务代码的工作量更多。在一些很多业务场景中投入产出比很低，适合写自动化测试的应该是那些中长期业务以及一些诸如组件一样的基础库。自动化测试是个比较大的概念，其中分类也比较多，比如单元测试，端对端测试，集

云原生

ELK实现containerd的容器日志采集展示【基于logging的全栈监测】

企业级ELK Stack构建介绍

云原生

(20200916 Solved)docker-compose up创建容器自动退出

问题描述如题，创建容器后自动退出了。并且docker start container无效解决方案原因是缺失了控制终端的配置，需要在docker-compose.yml中增加tty:true ，有时候这样也不行，需要再增加一个command:/bin/bash，命令不一定是这个，需要是一个不会退出的命令，然后用-d后台启动容器。Referencesdocker-compose启动容器后自动退出...