0
我想運行docker或LXC容器,但限制對容器本身的訪問。具體來說,甚至可以防止根(主機上的根)訪問容器嗎? 從訪問,我的意思是SSH到容器,tcpdump tx/rx放入容器,分析應用程序等。是否可以限制訪問lxc容器?
謝謝!
A
回答
1
不可能有效地限制主機上的特權用戶檢查或訪問容器。如果是這樣的話,很難想象root用戶甚至可能首先啓動容器。
一般情況下,要記住,集裝箱被用來限制程序的有限空間是非常有用的。它是用來保持一個過程,從失控到主機,而不是防止其他進程中獲得
相關問題
- 1. LXC容器,無法訪問互聯網
- 2. 是否可以使用ipaddress限制訪問?
- 3. 是否可以限制訪問特定slug下的帖子?
- 4. 是否可以通過RailsAdmin中的CanCan&Rolify來限制訪問?
- 5. 是否可以限制Bookmarklet?
- 6. 是否有可能將USB設備暴露給lxc/docker容器?
- 7. 是否可以從容器內部訪問Pod信息?
- 8. ECS容器是否可以訪問docker socket?
- 9. 限制Azure Blob容器訪問Azure CDN
- 10. Drupal內容訪問限制
- 11. Linux容器lxc-create
- 12. 是否可以將內容編輯器限制爲UmbracoCMS中的特定內容
- 13. 限制.net插件可以訪問的內容
- 14. 訪問內容頁面可以控制
- 15. 如何訪問mongodb部署insde lxc容器
- 16. 是否有可能通過應用限制iOS訪問?
- 17. 是否可以限制DLL功能?
- 18. 是否可以限制NSNotification的目標?
- 19. 是否可以限制Parallel.ForEach的內核?
- 20. 是否可以限制模板?
- 21. 是否可以限制用戶訪問列表,但可通過代碼訪問列表+ sharepoint 2007
- 22. 是否可以無限期地訪問SNS主題?
- 23. Subversion是否可以限制開發人員訪問某些文件?
- 24. 是否可以限制Web服務訪問它自己的Web應用程序?
- 25. 是否可以限制對使用Web API 2構建的REST API的訪問?
- 26. 是否可以限制訪問網站到特定的計算機?
- 27. Django admin - 是否可以限制用戶訪問他自己輸入的數據?
- 28. 是否可以在iOS上限制第三方應用程序訪問
- 29. 是否可以通過IP地址限制通過HTTP訪問Reporting Services?
- 30. 是否可以通過業務邏輯來限制對資產的訪問?
一致認爲,集裝箱化本質上是包含脫離的過程。我想知道的是,是否可以在容器中使用某種訪問控制來限制訪問權限,包括來自特權用戶的權限。可以啓動/刪除容器,但我想限制訪問容器本身的內容以及傳入和傳出容器的數據。 – NetCubist
這真的不可行。通過這種方式來看:容器的整個文件系統可以被主機上的root用戶訪問。無論您使用何種保護措施,root用戶仍然可以在啓動它之前將文件插入容器(例如新的SSH密鑰),然後運行它。所有進出容器的數據都通過主機,這意味着超級用戶可以攔截它。我看不出有什麼辦法去做你想問的問題。 –