容器内使用 jinfo、jmap 命令报错 Operation not permitted
这其实不是什么 Bug,而是 Docker 自 1.10 版本开始加入的安全特性。
类似于 jmap 这些 JDK 工具依赖于 Linux 的 PTRACE_ATTACH,而是 Docker 自 1.10 在默认的 seccomp 配置文件中禁用了 ptrace。
1.1 –security-opt seccomp=unconfined
简单暴力(不推荐),直接关闭 seccomp 配置。用法:
docker run --security-opt seccomp:unconfined ...
1.2 –cap-add=SYS_PTRACE
使用 --cap-add 明确添加指定功能:
docker run --cap-add=SYS_PTRACE ...
1.3 Docker Compose 的支持
Docker Compose 自 version 1.1.0 (2015-02-25) 起支持 cap_add。官方文档:cap_add, cap_drop。用法:
前面的 docker-compose.yml 改写后文件内容如下(相同内容部分就不重复贴了):
version: '2' services: mysql: ... api: ... cap_add: - SYS_PTRACE
https://docs.docker.com/compose/compose-file/compose-file-v2/#cap_add-cap_drop
1.4 K8S 重 pod 设置
设置格式见 K8S 官网:为 Container 设置权能
apiVersion: v1 kind: Pod metadata: name: security-context-demo-4 spec: containers: - name: sec-ctx-4 image: gcr.io/google-samples/node-hello:1.0 securityContext: capabilities: add: - SYS_PTRACE
注意: 开启这个功能会带来一定的风险,如 从零开始的Kubernetes攻防(5.5节 SYS_PTRACE 安全风险)所说的 可能导致容器逃逸
0顶
0 踩
共 0 条评论