[解決済み] 特権的なコンテナと能力

質問

特権モードでコンテナを実行している場合、そのコンテナはすべてのカーネル機能を備えていますか、それとも個別に追加する必要がありますか。

どのように解決するのですか?

特権モードで実行すると、確かにコンテナにはすべての能力が与えられます。 しかし、コンテナには常に必要最低限の要件を与えておくのがよい習慣です。

このような Docker runコマンドのドキュメント はこのフラグを参照しています。

コンテナの完全な機能 (--privileged)

--privileged フラグはコンテナにすべての機能を与え、デバイス cgroup コントローラーによって強制されるすべての制限も解除します。言い換えれば、コンテナは、ホストができることのほとんどすべてを行うことができます。このフラグは、Docker内でDockerを実行するような、特別なユースケースを可能にするために存在します。

を使用して特定の機能を与えることができます。 --cap-add フラグで指定できます。参照 man 7 capabilities を参照してください。リテラル名を使用することもできます。 --cap-add CAP_FOWNER .