开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

即使在设置了cap_net_raw之后，也无法在linux容器中打开原始套接字

在Linux容器中，即使设置了cap_net_raw权限，也无法打开原始套接字。这是因为容器技术本质上是一种进程隔离机制，通过命名空间和控制组实现。容器内的进程只能访问容器内的资源，无法直接访问宿主机的资源。

cap_net_raw是Linux内核中的一种权限，允许进程在网络层级别上进行原始套接字操作，例如发送和接收原始网络数据包。然而，在容器中，即使给予容器进程cap_net_raw权限，由于容器的隔离性，它仍然无法打开原始套接字。

这种限制是为了增强容器的安全性和隔离性。如果容器内的进程可以直接访问宿主机的网络资源，可能会导致安全漏洞和潜在的攻击风险。因此，容器技术通常会限制容器内进程的网络访问权限，以保护宿主机和其他容器的安全。

如果您需要在容器中进行原始套接字操作，可以考虑以下解决方案：

使用特权容器：特权容器是一种特殊类型的容器，具有更高的权限和更多的系统访问能力。通过在创建容器时指定--privileged选项，可以使容器拥有与宿主机相同的权限，包括打开原始套接字。但是，使用特权容器可能会降低容器的安全性，因此需要谨慎使用。
使用主机网络命名空间：可以将容器直接连接到宿主机的网络命名空间，使其共享宿主机的网络栈。这样，容器内的进程就可以直接访问宿主机的网络资源，包括打开原始套接字。但是，这种方式会破坏容器的隔离性，因此需要权衡安全性和灵活性。

总结起来，即使在设置了cap_net_raw权限之后，由于容器的隔离性，无法在Linux容器中直接打开原始套接字。如果需要进行原始套接字操作，可以考虑使用特权容器或将容器连接到宿主机的网络命名空间。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

让wireshark以非root权限运行背后的linux Capabilities（简介）

这种依赖单一帐户执行特权操作的方式加大了系统的面临风险，而需要root权限的程序可能只是为了一个单一的操作，例如：绑定到特权端口、打开一个只有root权限可以访问的文件。...系统管理员为了系统的安全可以剥夺root用户的能力，这样即使root用户也将无法进行某些操作。...而这个过程又是不可逆的，也就是说如果一种能力被删除，除非重新启动系统，否则即使root用户也无法重新添加被删除的能力。...:允许使用原始套接字 CAP_IPC_LOCK:允许锁定共享内存片段 CAP_IPC_OWNER:忽略IPC所有权检查 CAP_SYS_MODULE:允许插入和删除内核模块 CAP_SYS_RAWIO:...这一步在安装Wireshark的时候，也会完成。

2K2 1

Linux Capabilities 入门：让普通进程获得 root 的洪荒之力

Capabilities 机制是在 Linux 内核 2.2 之后引入的，原理很简单，就是将之前与超级用户 root（UID=0）关联的特权细分为不同的功能组，Capabilites 作为线程（Linux...允许使用原始套接字 CAP_SETGID 允许改变进程的 GID CAP_SETFCAP 允许为文件设置任意的 capabilities CAP_SETPCAP 参考 capabilities man...举个例子，在一个 Bash 环境中（例如某个正在执行的脚本），该环境所在的线程的 Ambient 集合中包含 CAP_NET_RAW capability，那么在该环境中执行 ping 文件可以正常工作...，即使该文件是普通文件（没有任何 capabilities，也没有设置 SUID）。...如果容器开启了 securityContext/allowPrivilegeEscalation，上述设置仍然可以生效。

8.8K2 1

云安全 | k8s 所面临的风险学习

0x00 前言 Kubernetes 又称 k8s，是 Google 在 2014 年开源的一个用来管理容器的平台，以下是 k8s 架构图。...默认情况下，etcd 提供的两个端口都需要相应的证书才能访问，但如果 RT 窃取了证书，或者用户将 etcd 设置了允许匿名问，那么 RT 就可以直接访问 etcd 并窃取数据。...CAP_NET_RAW 权限（即允许使用原始套接字的权限），因此集群内部可能会发生内网横向的风险。...0x04 无法根治的软件漏洞 Kubernetes 自身也被爆出许多安全漏洞，这类自然也属于 Kubernetes 所面临的的风险。...---- 往期推荐工具分享 | 一个检测容器逃逸的脚本漏洞复现 | DirtyPipe CVE-2022-0847 Linux 内核提权漏洞复现云安全 | 容器基础设施所面临的风险学习原文链接

6964 0

Linux Capabilities 与容器的水乳交融

其实 ping 在执行过程中会将 Permitted 集合中的 CAP_NET_RAW capabilities 加入 Effective 集合中，打开 Socket 之后再将该 capabilities...如果你可以在容器中修改系统时间，那么宿主机和其他容器中的系统时间都会被改变。...另外需要注意的是，容器中的 Ambient 集合是空的，目前在 Docker 和 Kubernetes 中还无法配置 Ambient 集合，过在底层的 runc 运行时中是可以配置的。...即使容器的进程被黑客攻击，攻击者只会拥有有限的文件系统权限，无法施展拳脚。...Docker 中还有一个选项可以防止容器中的用户获得新的 capabilities，它可以有效阻止攻击者提升权限来避免受到攻击，同时也阻止了再容器中执行 set_ambient 程序。

2K5 2

《Python黑帽子》：原始套接字和流量嗅探

在本文中，我们将使用原始套接字来访问诸如IP 和ICMP 头等底层的网络信息。在下面的例子中，我们只对IP 层和更高层感兴趣，因此我们不会去解码以太网头中的信息。...Windows 和Linux 上的包嗅探在Windows 和Linux 上访问原始套接字有些许不同，但我们更中意于在多平台部署同样的嗅探器以实现更大的灵活性。...我们将先创建套接字对象，然后再判断程序在哪个平台上运行。在Windows 平台上，我们需要通过套接字输入／输出控制（IOCTL）1设置一些额外的标志，它允许在网络接口上启用混杂模式。...在第一个例子中，我们只需设置原始套接字嗅探器，读取一个数据包，然后退出即可。首先，我们通过构建套接字对象对网络接口上的数据包嗅探进行必要的参数设置①。...然后，我们通过设置套接字选项②设置在捕获的数据包中包含IP 头。下一步③，我们判断程序是否运行在Windows 上，如果是，那么我们发送IOCTL 信号到网卡驱动上以启用混杂模式。

1.3K2 0

Cilium架构 (Cilium 2)

数据路径 Linux内核在网络栈中支持一个BPF钩子集，使用这些勾子可以允许BPF程序(即使用回调函数运行)。...根据场景的需要，容器也可能使用ipvlan设备进行连接。这种模式下，主机的物理设备作为ipvlan的master，容器中的虚拟ipvlan设备被设置为slave模式。...socket操作钩子会识别要加速的候选套接字，这些候选套接字包括所有的本地节点连接(endpoint到endpoint)以及所有到Cilium代理的连接。...）的特权，而不会影响安全性(因为容器无法访问主机中的BPF enforcement点)。...和CAP_NET_RAW特权运行的容器。

2.2K2 1

Linux Capabilities 入门：如何管理文件的 capabilities？

Linux 系统中主要提供了两种工具来管理 capabilities：libcap 和 libcap-ng。...这就确保了线程及子线程都无法获得额外的权限，因为无法执行 setuid 和 setgid，也不能设置文件的权限。...接着在开启 no-new-privileges 的前提下启动容器，以防止执行设置了 SUID 标识的可执行文件进行 UID 转换： $ docker run -it --rm --user=1000 -...-security-opt=no-new-privileges testnnp Effective uid: 1000 可以看到，开启了 no_new_privs 属性之后，即使可执行文件设置了 SUID...这样即使镜像中的代码有安全风险，仍然可以通过防止其提升权限来避免受到攻击。 Kubernetes 也可以开启 no_new_privs，不过逻辑稍微复杂一点。

4.2K1 0

容器安全机制解读

内核的一个强大特性，它提供程序运行时细粒度的访问控制，Linux内核中的Capabilities特性用于划分特权集，使进程可以只分配"执行特定功能"的特权：引入Capability特性前：只区分root...命令时，其实依赖的是CAP_NET_RAW能力，当我们移除容器的CAP_NET_RAW能力，再运行ping命令程序时会提示权限限制：检查capabilities能力可以使用以下命令#查看命令capsh...–print #安装依赖apt install libcap*Docker继承了Linux Capabilities的能力，在运行容器的时候我们可以通过指定--privileded参数来开启容器的所有Capabilities...，同时也是最基础和最直接的隔离，在容器运行时Docker将为该容器创建一组命名空间，然后把容器内的所有进程放到NameSpace中，在本地主机上无法看到容器内运行的进程，宿主机上各容器之间互相隔离互不影响...，命令空间可以在/proc//ns目录中查看其他内核机制Docker当前默认只启用了Capability(能力机制)A：SELinuxSELinux(Security-Enhanced Linux

3852 0

从Podman到Kubernetes：实用集成指南

它显示了创建 Pod 时使用的基础架构容器的标识符（在本例中为 131ee0bcd059）。基础架构容器允许 Pod 中运行的容器共享各种 Linux 命名空间。...此网络套接字尚不存在，但它将由您接下来设置的 Vector 容器创建。...，您现在可以开始设置 Vector 容器了。...Vector 容器内运行的主进程在端口 9000 上创建一个新的网络套接字，用于侦听 TCP 连接。...Caddy 和 Vector 容器在同一个网络命名空间中运行，因此它们可以通过 vector 建立的 TCP 套接字进行通信。

6721 0

超详细的Socket通信原理和实例讲解

我们在 Windows 的命令提示符中输入 netstat -ano # netstat 用于显示套接字内容 , -ano 是可选选项 # a 不仅显示正在通信的套接字，还显示包括尚未开始通信等状态的所有套接字...应用程序中有一个 socket 组件，在应用程序启动时，会调用 socket 申请创建套接字，协议栈会根据应用程序的申请创建套接字：首先分配一个套接字所需的内存空间，这一步相当于是为控制信息准备一个容器...套接字刚刚创建完成后，还没有数据，也不知道通信对象。在这种状态下，即使你让客户端应用程序委托协议栈发送数据，它也不知道发送到哪里。...在服务器上，与客户端一样也需要创建套接字，但是同样的它也不知道通信对象是谁，所以我们需要让客户端向服务器告知客户端的必要信息：IP 地址和端口号。...当所有建立连接的报文都能够正常收发之后，此时套接字就已经进入可收发状态了，此时可以认为用一根管理把两个套接字连接了起来。当然，实际上并不存在这个管子。

1.6K2 0

一道腾讯面试题目：没有listen，能否建立TCP连接

为了能够收到TCP的握手数据包，可以尝试使用原始套接字来接收IP报文，这样就可以在应用层替代内核做TCP的三次握手了。这个想法不错，可惜现实比较残酷，七年前我已经试过这个方案了。...当没有对于TCP 套接字处于listen状态时，使用raw socket处理握手报文时，即使收到了syn报文并给对端发送了syn+ack报文，也无法完成连接。因为内核一般会提前发送RST中断该连接。...内核在ip_local_deliver_finish先将报文复制一份给原始套接字，然后会继续后面的处理，进入tcp的接收函数tcp_v4_rcv。在这个函数中，要进行套接字的查找。 ?...可惜，在与那位同学的讨论中，腾讯面试题目的本意不是这个意思，而是对于普通的TCP套接字来说，如果没有listen调用，是否可以创建连接。即使限定了条件，答案依然是肯定的。...只不过限定了条件之后，我们需要确定2个事情：与前面类似，如何避免内核发送RST。在不能使用iptable的前提下，这意味着在tcp_v4_rcv中，要能够找到对应的套接字。

2K3 0

JDK19都出来了~是时候梳理清楚JDK的各个版本的特性了【JDK16特性讲解】

4.JEP 380：Unix 域套接字通道概述将 Unix 域 ( AF_UNIX) 套接字支持添加到包中的套接字通道和服务器套接字通道API java.nio.channels。...此 JEP 的目标是支持在主要 Unix 平台和 Windows 中通用的 Unix 域套接字的所有功能。...Unix 域套接字通道在读/写行为、连接设置、服务器对传入连接的接受、与选择器中的其他非阻塞可选通道的多路复用以及相关套接字的支持方面的行为与现有的 TCP/IP 通道相同选项。...Unix 域套接字比 TCP/IP 环回连接具有更快的设置时间和更高的数据吞吐量。对于需要在同一系统上的容器之间进行通信的容器环境，Unix 域套接字可能是比 TCP/IP 套接字更好的解决方案。...那时将无法通过单个命令行选项打开所有 JDK 8 包。仍然可以使用--add-opens命令行选项或 Add-OpensJAR-file 属性来打开特定的包。

1.6K5 0

SeedLab——Packet Sniffing and Spoofing Lab

在main函数中，打开了一个网络接口的pcap会话，指定了接口名为enp0s3。编译了一个BPF过滤器，只捕获协议类型为ICMP的IP数据包。...然而，使用原始套接字，应用程序可以绕过这些封装，直接访问和操作网络协议栈中的原始数据。...AF_INET参数指定了使用IPv4协议，SOCK_RAW参数指定了套接字类型为原始套接字，IPPROTO_TCP参数指定了传输层协议为TCP。如果socket函数返回值为-1，表示创建套接字失败。...通过将选项值设置为on，即使发送的数据中没有包含IP头部，操作系统也会将数据直接发送出去，而不会添加默认的IP头部。这样，应用程序就可以自行构建并添加完整的IP头部。...如果没有root权限，在创建原始套接字过程就会失败了。 Task 2.3: Sniff and then Spoof 编写一个程序能够响应ICMP ECHO，伪造ICMP Reply。

5501 0

实战 | 利用SSRF渗透内网主机-中

浏览器访问静态网页过程在整个网页的访问过程中，Web容器(例如Apache、Nginx)只担任着内容分发者的身份，当访问静态网站的主页时，Web容器会到网站的相应目录中查找主页文件，然后发送给用户的浏览器...，其攻击原理就是在设置环境变量实际请求中会出现一个SCRIPT_FILENAME': '/var/www/html/index.php这样的键值对，它的意思是php-fpm会执行这个文件，但是这样即使能够控制这个键值对的值...•内存共享/命名管道•TCP/IP套接字 •在Linux或者Unix环境下，当我们输入mysql –uroot –proot登录MySQL服务器时就是用的Unix套接字连接；Unix套接字其实不是一个网络协议...•在Windows系统中客户端和Mysql服务器在同一台电脑上，可以使用命名管道和共享内存的方式。...•TCP/IP套接字是在任何系统下都可以使用的方式，也是使用最多的连接方式，当我们输入mysql –h127.0.0.1 –uroot –proot时就是要TCP/IP套接字。

1.3K2 0

浅入浅出 Android 安全：第二章 Android Linux 内核层安全

此图显示了 Android 安全体系结构的更详细的概述。我们将在本文中参考它来解释这个操作系统的特性。在 Linux 内核层配置应用沙箱的过程如下。...2.2 Linux 内核层上的权限约束通过将 Linux 用户和组所有者分配给实现此功能的组件，可以限制对某些系统功能的访问。这种类型的限制可以应用于系统资源，如文件，驱动程序和套接字。...、驱动和 Unix 套接字的文件系统权限：init程序，init.rc配置文件，ueventd.rc配置文件和系统 ROM 文件系统配置文件。...例如，对于负责网络通信的AF_INET套接字地址族，此检查在kernel/net/ipv4/af_inet.c文件中执行（参见清单 2.2 中的代码片段）。...Linux 组和 Paranoid 网络的权限标签之间的映射也在platform.xml文件中设置（例如，参见清单 2.1 中的第 4 行）。

4762 0

linux实践之自动注册系统服务

一、服务鼻祖之Init 学过Linux的同学应该都知道赫赫有名的init进程，那是Linux系统启动的第0号进程，在类Unix的计算机操作系统中，init（initialize的缩写）是一个守护进程，Init...Init 在boot过程中由内核启动。如果内核无法启动它，就会发生内核奔溃。Init 通常被分配进程id 1。...套接字成为可以存在于服务之外的概念。比如说，允许在不运行服务的情况下打开套接字，并且仅在套接字上有流量时才启动服务。...在套接字单元文件中，我们可以指定要侦听的不同套接字类型，例如文件系统套接字或 IPv4 或 IPv6 套接字。...这里的例子system-journald，我们创建一个包含两个文件套接字的套接字单元，一个流套接字和一个数据报套接字。

3321 0

浅谈原始套接字 SOCK_RAW 的内幕及其应用（port scan, packet sniffer, syn flood, icmp flood）

假设现在我们要通过SOCK_RAW 发送数据，则需要调用setsockopt 设置IP_HDRINCL 选项（如果protocol 设为IPPROTO_RAW 则默认设置了IP_HDRINCL），即告诉内核我们自己来封装...0 , &saddr , &saddr_size); //Now process the packet ProcessPacket(buffer , data_size); } 即创建原始套接字...Error message : %s \n" , errno , strerror(errno)); exit(0); } } 创建一个原始套接字s，开启IP_HDRINCL 选项...另开一个线程创建另一个原始套接字，仿照packet sniffer 进行数据包的接收，分解tcp 头部看是否syn == 1 && ack == 1 && dest_addr == src_addr，...如果不追求效率，很简单的做法是直接用普通的套接字，循环端口去connect，成功就表明端口是打开的，只是三次握手完整了一回。

3.5K0 0

【Nginx31】Nginx学习：代理模块（五）变量与其它配置

而在 Proxy 模块中，也提供了几个非常简单的变量，今天就来一起学学。另外，最后还剩一些无法归到大类的其它配置，大家也可以了解一下，其中还是有重点配置的哦，而且是非常常用的，今天的内容绝对不水。...今天的配置指令基本上都可以在 http、server、location 中配置，有特殊情况的我会单独说。 Proxy 变量在代理模块中，提供了三个变量。...在 Linux 上，不需要 (1.13.8) 就好像指定了 transparent 参数一样，工作进程从主进程继承 CAP_NET_RAW 能力。还需要配置内核路由表来拦截来自代理服务器的网络流量。...proxy_send_lowat 如果该指令设置为非零值，则 Nginx 将尝试使用 kqueue 方法的 NOTE_LOWAT 标志或具有指定大小的 SO_SNDLOWAT 套接字选项来最小化到代理服务器的传出连接上的发送操作数...proxy_socket_keepalive on | off; 默认情况下，操作系统的设置对套接字有效。如果该指令设置为值“on”，则为套接字打开 SO_KEEPALIVE 套接字选项。

8553 1

套接字 socket 和 tcp 连接过程

监听之后，套接字就从 CLOSE 状态转变为 LISTEN 状态，于是这个套接字就可以对外提供 TCP 连接的窗口了。...sockfd 接收到某个客户端发来的 SYN 并回复了 SYN+ACK 之后，就会在连接未完成队列（syn queue）的尾部创建一个关于这个客户端的条目，并设置它的状态为 SYN_RECV，显然，这个条目中必须包含客户端的地址和端口相关信息...可以看出，连接请求方（如客户端）才会使用 connect() 函数，当然，在发起 connect() 之前，连接发起方也需要生成一个 sockfd，且使用的很可能是绑定了随机端口的套接字。...当然，可以将套接字设置为非阻塞 IO 模型，这时在 buffer 不满足条件时调用 send()/recv() 函数，调用函数的进程/线程将返回错误状态信息 EWOULDBLOCK 或 EAGAIN ；...对于父子进程共享套接字的并发服务程序，调用 close() 关闭子进程的套接字并不会真的关闭套接字，因为父进程的套接字还处于打开状态，如果父进程一直不调用 close() 函数，那么这个套接字将一直处于打开状态

2.4K1 0

详解操作系统之进程间通信 IPC (InterProcess Communication)

有名管道不同于匿名管道之处在于它提供了一个路径名与之关联，以有名管道的文件形式存在于文件系统中，这样，即使与有名管道的创建进程不存在亲缘关系的进程，只要可以访问该路径，就能够彼此通过有名管道相互通信，因此...套接字(socket) 套接字是一种通信机制，凭借这种机制，客户/服务器（即要进行通信的进程）系统的开发工作既可以在本地单机上进行，也可以跨网络进行。...三是原始套接字，原始套接字允许对较低层次的协议直接访问，比如IP、 ICMP协议，它常用于检验新的协议实现，或者访问现有服务中配置的新设备，因为RAW SOCKET可以自如地控制Windows下的多种协议...原始套接字与标准套接字的区别在于：原始套接字可以读写内核没有处理的IP数据包，而流套接字只能读取TCP协议的数据，数据报套接字只能读取UDP协议的数据。...因此，如果要访问其他协议发送数据必须使用原始套接字。

3K3 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭