跳转至

Capabilities

Linux Capabilities 机制允许对进程的权限进行细粒度的控制。Docker 利用 Capabilities 来限制容器内进程的权限,防止其执行危险操作。

常用 Capabilities

  • CAP_CHOWN:允许更改文件的所有者和组。
  • CAP_DAC_OVERRIDE:允许绕过文件的读写权限检查。
  • CAP_NET_BIND_SERVICE:允许绑定到特权端口(小于 1024 的端口)。

在运行容器时,可以通过 --cap-add--cap-drop 参数来添加或删除 Capabilities。

docker run --cap-add=CAP_NET_BIND_SERVICE --cap-drop=CAP_CHOWN my-container

上述命令将添加 CAP_NET_BIND_SERVICE Capability,并删除 CAP_CHOWN Capability。