代码之家  ›  专栏  ›  技术社区  ›  Traiano Welcome

Ansible的Docker_容器模块不支持cap_drop来限制对内核cap s的访问

ansible docker security
  •  0
  • Traiano Welcome  · 技术社区  · 6 年前

    我看见安蒂斯的 docker_container 模块支持“capabilities”参数以添加对容器内核功能的访问。

    但是,我们似乎不能进一步限制内核功能,例如前面提到的,不推荐使用” caps_drop “特征。

    鉴于此,如何将对内核功能的访问限制在默认范围之外?

    查看可应答代码:

    “能力”的定义见 lib/ansible/modules/cloud/docker/docker_container.py : 

     capabilities:
   description:
     - List of capabilities to add to the container.

    但是,功能与cap_-add相同: 

    host_config_params = dict(
           …
           cap_add='capabilities',

    唯一提到cap_drop的是不推荐使用的docker模块( lib/ansible/modules/cloud/docker/_docker.py ): 

    cap_drop:
  description:
    - Drop capabilities for the container.
    - Requires docker-py >= 0.5.0.
  type: bool
  default: 'no'
  version_added: "2.0"
    1 回复  |  直到 6 年前
        1
  •  0
  •   Baptiste Mille-Mathias    6 年前

    事实上,这是不可能的,因为在Docker中写入删除功能,但是有一个问题仍然存在( http://github.com/ansible/ansible/issues/29578 )一旦有人写了一个补丁,这个问题应该马上解决,如果可能的话,我建议使用旧的模块。

    推荐文章
    Kallydi  ·  jdbc无法连接到docker中的postgresql数据库
    5 月前
    tinkerr  ·  如何在2025年在MacOS上安装MySQL 5.7
    5 月前
    Vanortton  ·  使用Docker开始应用程序开发还是在开发过程中配置Docker?[关闭]
    5 月前
    Super_Programmer  ·  Linux中带括号的环境变量?[副本]
    5 月前
    user6866797  ·  Docker找不到所需的可执行文件“%s”
    5 月前
    Anonymous Creator  ·  Byteeco Tesseract API在Docker内部不工作
    6 月前
    TwittorDrive  ·  运行中的Docker容器是否可能不包含NodeJS应用程序的编译文件?
    6 月前
    innov-aphp  ·  PackagesNotFoundError:以下包无法从当前频道获得:
    6 月前
    Aleksander Wons  ·  在本地和GitHub Actions中运行Make时处理的不同变量
    6 月前
    Dev Scott  ·  如何使用无服务器将我的docker镜像用于lambda函数?
    10 月前
    关于  
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号