开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

我可以在docker容器中以非root用户的身份绑定到端口80。为什么？到底怎么回事？

在Docker容器中以非root用户的身份绑定到端口80是可能的。这是因为Docker在Linux上使用了一种名为"namespace"的技术，它允许在容器内部创建一个与主机系统隔离的环境。在这个环境中，容器内的进程以及它们的权限和资源都被隔离开来，因此即使在容器内以非root用户的身份运行，也可以绑定到低于1024的端口。

在Linux系统中，低于1024的端口号是保留给特权用户（如root）使用的。这是为了确保只有具有足够权限的用户才能够绑定到这些端口，以防止恶意用户滥用这些端口。然而，Docker通过使用Linux的"capabilities"功能，允许容器内的非root用户绑定到低于1024的端口。

具体来说，Docker在创建容器时会为容器内的进程分配一个特殊的用户ID（UID），该UID与主机系统的用户ID隔离开来。当容器内的进程尝试绑定到低于1024的端口时，Docker会检查该进程的UID是否具有足够的权限。如果该UID具有适当的权限，Docker会允许该进程绑定到该端口。

这种能力使得在Docker容器中以非root用户的身份绑定到端口80成为可能。这对于提高容器的安全性和隔离性非常有用，因为以非root用户的身份运行容器可以减少潜在的安全风险。

在腾讯云的产品中，可以使用腾讯云容器服务（Tencent Kubernetes Engine，TKE）来管理和运行Docker容器。TKE提供了一种安全、高可用的容器运行环境，支持以非root用户的身份绑定到端口80。您可以通过以下链接了解更多关于腾讯云容器服务的信息：https://cloud.tencent.com/product/tke

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Linux Capabilities 与容器的水乳交融

例如，我们可以在 Ambient 集合中加入 CAP_NET_BIND_SERVICE capabilities 来创建一个可以绑定到 80 端口的 "webserver" 环境，不需要额外的 capabilities...接着运行一个 Go Web 服务[4]，并绑定到 80 端口，既不给它相应的 capabilities，也不以 root 身份运行： $ $ ....) gid=0(root) groups= 然后就可以以 root 身份或普通用户身份运行容器，例如： $ docker run --cap-drop all --cap-add NET_BIND_SERVICE...对于容器玩家，我的最终建议是：移除所有非必要的 capabilities，并以非 root 身份运行。...Linux capabilities 与容器领域有着紧密的联系，我很期待看到 Ambient capabilities 被广泛应用到容器领域，以支持以非 root 身份运行的半特权容器。

1.9K5 2

6.Docker镜像与容器安全最佳实践

例如当一个容器的Web服务需要绑定到80端口,但是80端口的绑定是需要ROOT权限的。...配置TLS身份验证以限制通过IP和端口访问Docker守护进程。加固说明：默认情况下，Docker守护进程绑定到非联网的Unix套接字，并以root权限运行。...如果将默认的docker守护进程更改为绑定到TCP端口或任何其他Unix套接字，那么任何有权访问该端口或套接字的人都可以完全访问Docker守护进程，进而可以访问主机系统。...备注 4.容器镜像和构建文件 4.1 创建容器的用户描述: 为容器镜像的Dockerfile中的容器创建非root用户。加固说明: 如果可能，最好指定非root用户身份运行容器。...删除这些用户后，提交镜像，然后生成新的容器实例以供使用。操作影响: None. 默认值: 默认情况下，容器以root权限运行，并以容器中的用户root身份运行。

2.4K2 0

HAProxy容器化实践

作为在 Linux 上运行的独立服务，将其移植到 Docker 似乎很自然。 为什么要在 Docker 容器内运行负载均衡器？这样做性能会有折扣么？它会引入任何安全问题吗？...IBM 研究人员的一项研究发现，使用 Docker 的 CPU 开销可以忽略不计，这应该不足为奇。网络是另一回事。默认情况下，Docker 允许您通过创建到主机的桥接网络来访问在容器内运行的服务。...使用 Docker 的安全考虑您可能会担心许多 Docker 容器以 root 身份运行他们的服务，而这个 root 用户与主机系统上的 root 用户相同。对容器突破的担忧是合理的。...HAProxy 也以 root 身份运行。但是，让您放心：HAProxy 需要 root 访问权限，因为它需要绑定到受限制的 TCP 端口，如 80 和 443。...但是，一旦完成启动，它就会放弃其 root 权限并以非特权用户身份运行。人们还会权衡容器可能是恶意的风险。

8262 0

浅析Docker运行安全

与Linux root用户相关的几乎所有特殊功能都分解为单独的功能。更细粒度的功能限制可以：从 root 用户帐户中删除单个功能，使其功能/危险性降低。...以非常精细的级别向非root用户添加特权。功能适用于文件和线程。文件功能允许用户以更高的特权执行程序。这类似于setuid位的工作方式。线程功能跟踪正在运行的程序中功能的当前状态。...2.18 不共享主机用户命名空间，禁用—users=host 默认情况下，Docker守护程序以root身份运行。这使守护程序可以创建并使用启动容器所需的内核结构。但是，它也存在潜在的安全风险。...2.29 docker exec 命令不使用—user=root选项在docker exec命令中使用—user=root选项，会以root用户身份在容器内执行命令。...例如，如果容器以tomcat用户（或任何其他非root用户）身份运行，则可以使用—user=root选项通过docker exec以root身份运行命令。

2.7K1 0

MyEMS的安装部署与数据读取查看

ID -p 向主机发布容器的端口，8000:8000（主机：容器）将容器的端口8000（右侧）绑定到主机的TCP端口8000（左侧）。...ID -p 将容器的端口发布到主机，8001:8001（主机：容器）将容器的8001端口（右侧）绑定到主机的TCP端口8001（左侧）。...-p 向主机发布容器的端口，80:80（主机：容器）将容器的端口80（右）绑定到主机的TCP端口80（左）。...ID -p 将容器的端口发布到主机，8001:8001（主机：容器）将容器的8001端口（右侧）绑定到主机的TCP端口8001（左侧）。...-p 向主机发布容器的端口，80:80（主机：容器）将容器的端口80（右）绑定到主机的TCP端口80（左）。

3111 0

13 Dcoker Compose

docker-compose down # 停止所有容器 docker-compose down web # 停止单个容器 ps 用于列出为配置文件中定义的服务创建的所有容器及其状态、端口绑定和命令。...但是，可以授予我们的用户在不适用 sudo 的情况下运行 Docker 命令的权限。...它可以通过定义为ports: - "80:80"的端口映射来访问，其中容器的端口 80 映射到主机的端口 80。这语序通过主机上的 http://localhost访问容器内运行的 Web 服务器。...实践二非 root 身份运行容器从公共存储库（如 Docker Compose）中提取预先存在的 Docker 镜像并在本地计算机上运行。以非 root 身份运行容器。...我们可以在主机的端口 9000 上访问 Portainer，在端口 8080 上访问 Jenkins。

1621 0

关于容器中镜像构建的安全问题

---- 一、权限管理 1.避免以容器以root身份运行在Openshift与k8s环境中默认容器需要以非root身份运行，使用root身份运行的情况很少，所以不要忘记在dockerfile中包含USER...指令，以将启动容器时默认有效的UID 更改为非 root 用户。...以非 root 身份运行需要在 Dockerfile 中做的两个步骤： •确保USER指令中指定的用户存在于容器内。•在进程将要读取或写入的位置提供适当的文件系统权限。...2.可执行文件权限应为root用户拥有但不可写容器中的每个可执行文件都应该由 root 用户拥有，即使它由非 root 用户执行，并且不应该是全局可写的。...我们在使用COPY时 ---- 二、减少攻击面避免加载不必要的包、第三方应用或暴露端口以减少攻击面。我们在镜像中包含的组件内容越多，容器暴露的就越多，维护起来就越困难。

9591 0

istio 1.7发布

•改进的网关部署，默认情况下以非root用户身份运行。(#23379)•改进了operator默认情况下以非root用户身份运行的功能。...(#24960)•通过指定严格的安全上下文来改进operator。(#24963)•改进了Istiod，默认情况下以非root用户身份运行。...网关以非root用户身份运行默认情况下，网关现在将在没有root权限的情况下运行。结果，它们将不再能够绑定到1024以下的端口。默认情况下，我们将绑定到有效端口。...客户端仍将连接到由port（通常为80和443）定义的端口，因此此更改应该是透明的。...如果您需要以root用户身份运行，可以使用此选项启用--set values.gateways.istio-ingressgateway.runAsRoot=true。

1.1K1 0

Mesos+Zookeeper+Marathon的Docker管理平台部署记录（2）--负载均衡marathon-lb

3）由于servicePort非80、443端口（80、443端口已被marathon-lb中的 haproxy独占），对于web服务来说不太方便，可以使用 haproxy虚拟主机解决这个问题：在提供...web服务的app配置里增加HAPROXY_{n}_VHOST（WEB虚拟主机）标签，marathon-lb会自动把这组app的WEB集群服务发布在marathon-lb所在节点的80和443端口上，用户设置...为了试验效果，分别将下面绑定了marathon-lb的四个ngixn容器的访问内容修改下，简单做法是：在182.48.115.237本机编写index.html文件，使用"docker cp"将文件覆盖到映射端口分别为...同理，在182.48.115.239本机也编写index.html文件，然后将其覆盖到映射端口为31380的nginx容器的80端口默认站点目录/usr/share/nginx/html下的index.html...2）可以创建不同的marathon-lb容器（可以定义不同的group），然后依据这些marathon-lb创建不同业务的应用容器，以实现负载均衡。

1.4K9 0

docker与gosu

容器中不要使用root账号 gosu是个工具，用来提升指定账号的权限，作用与sudo命令类似，而docker中使用gosu的起源来自安全问题； docker容器中运行的进程，如果以root身份运行的会有安全隐患...因此，容器内使用非root账号运行进程才是安全的方式，这也是我们在制作镜像时要注意的地方。...在镜像中创建非root账号既然不能用root账号，那就要创建其他账号来运行进程了，以redis官方镜像的Dockerfile为例，来看看如何创建账号，如下图，地址是：https://github.com...在Dockerfile脚本中未发现USER redis命令，这意味着执行docker-entrypoint.sh文件的身份是root；其次，在docker-entrypoint.sh中没有发现su...服务并非root账号启动，而且该服务进程在容器内还是一号进程，但是我们在Dockerfile和docker-entrypoint.sh脚本中都没有发现切换到redis账号的命令，也没有sudo和su，这是怎么回事呢

3.8K5 1

私有化轻量级持续集成部署方案--03-部署web服务（上）

Nginx 镜像中，暴露了 80 端口运行 Nginx 服务器，Dockerfile 中只暴露 80 端口，在启动时 80 端口直接启动的是 Nginx 服务器。注意：不允许直接使用 ....其中 yxs970707 是 Docker Hub 中的用户名称。当前没有构建私库，先推送到 Docker Hub。将 yxs970707 改为自己用户名称或组织。...成功后就可以在 Docker Hub 中搜到此镜像部署容器最简部署容器的最简部署方案是只设置端口号拉取镜像可能有些延迟，因为 Docker 配置了国内源，需要时间来同步 version:...非具名 volumes 覆盖问题之前都是使用宿主目录直接挂载容器内目录。直接使用宿主目录挂载，在容器启动时会使用宿主目录覆盖容器目录。...Linux 具有一种可以将 Mount path 和 device 绑定为一个目录方案当然还可以使用其它绑定方案，将数据卷绑定到其它目录。甚至可以绑定到其它机器

1.1K1 0

Podman 从入门到精通

Podman 创建的镜像遵循 OCI 标准，因此可以推送到其他容器注册中心，如 Docker Hub 它可以作为普通用户运行，无需 root 权限。...当以非 root 用户身份运行时，Podman 创建一个用户命名空间，在其中获取 root 权限。这允许它挂载文件系统并设置所需的容器它提供了管理 pod 的能力。...另一方面，Docker 依赖于守护进程，需要 root 权限或要求用户成为docker组的一部分才能在没有 root 权限的情况下运行 Docker 命令。...上面的 run 命令指定将容器暴露的 80 端口映射到主机的 80 端口，-dit 标志指定以分离和交互模式运行容器。创建的容器的 id 将作为输出。 4.4....删除镜像 podman rmi 命令删除本地存储库中存在的镜像。可以通过在输入中提供以空格分隔的 ID 来删除多个镜像。

2.2K2 0

如何在Ubuntu 18.04上使用Traefik作为Docker容器的反向代理

先决条件要继续学习本教程，您需要具备以下条件：一个Ubuntu 18.04服务器，包括一个具有sudo权限的非root用户和防火墙。...没有服务器的同学可以在这里购买，不过我个人更推荐您使用免费的腾讯云开发者实验室进行试验，学会安装后再购买服务器。在您的服务器上安装Docker。...该http入口点处理端口80，而 https入口点使用的端口443为TLS / SSL。我们自动将端口80上的所有流量重定向到https入口点，以强制所有请求的安全连接。...我们将这个分享到容器中，以便Traefik可以使用它： touch acme.json 如果容器内的root用户具有唯一的读写访问权限，Traefik将只能使用此文件。...traefik.port 指定Traefik用于将流量路由到此容器的公开端口。使用此配置，发送到Docker主机端口80的所有流量都将路由到blog容器。

2.1K7 4

Docker暴露2375端口导致服务器被攻击解决方法！

这个应该要从几个点说起吧： 1. docker对user namespace没有做隔离，也就是说，容器内部的root用户就是宿主机的root用户，一旦挂载目录，就可以在容器内部以宿主机的root用户身份对挂载的文件系统随意修改了...docker服务拥有很高的执行权利(相当于root)，并且在docker用户组下的普通用户不需要任何其他验证就可以执行docker run等命令。...key覆盖了，可以选着/tmp/id_rsa # 其他提示enter到底即可继续，注入ssh pub key，回到刚刚启动的容器执行 cat >> /tmp/root/.ssh/authorized_keys...2375直接裸露地暴露在公网上纯属是用户习惯或者偷懒的问题，2375可以在相对安全的内部网络中方便测试使用，并不适合使用在投入到生产环境中。...已经Warning告知：如果将daemon直接暴露在一个TCP端口，将可能会被以非root用户去获取宿主机的root权限。其实上面的说提到的服务器之所以这么容器被入侵，也正是这个原因。

2.8K2 1

如何在Ubuntu 14.04上使用Shipyard部署Wordpress

第1步 - 安装Shipyard 在此步骤中，我们将安装Shipyard。本教程中的命令都需要root权限，因此最简单的方法是以root用户身份登录腾讯云CVM。...如果您以非root用户身份登录，则可以运行sudo su以切换到root用户。一旦你运行Docker，就可以很容易地安装Shipyard，因为它可以作为Docker镜像提供。...接下来，系统将提示您输入用户名和密码。用户名和密码是默认设置的; 输入用户名admin和密码shipyard。然后，您将返回Shipyard提示符。现在您以管理员身份登录Shipyard实例。...选择TCP根据协议，离开IP空白处输入1234的端口和80的容器端口。现在您可以单击“ 部署”。再一次，您将需要一段时间才能被重定向回容器列表。...该列表现在还应显示一个名为wordpress-test的容器。单击旁边的链接以查看更多详细信息。在Ports下，您将看到WordPress容器的端口80现在已发布到您的服务器端口1234。

1.9K4 0

如何在Ubuntu上使用Traefik作为Docker容器的反向代理

准备要继续学习本教程，您需要具备以下条件： Ubuntu 16.04初始服务器，包括一个可以使用sudo命令的非root用户。正在运行的Docker主机。...我们自动将端口80上的所有流量重定向到https入口点，以强制所有请求的安全连接。最后，添加此部分以配置Traefik的Let's Encrypt证书支持： traefik.toml ......接下来，创建一个空文件，它将保存我们的信息。我们将这个分享到容器中，以便Traefik可以使用它： $ touch acme.json 然后锁定此文件的权限，以便只有root用户可以读取和写入此文件。...接下来，我们将端口:80和:443 Docker主机映射到Traefik容器中的相同端口，以便Traefik接收到服务器的所有HTTP和HTTPS流量。...traefik.port 指定Traefik用于将流量路由到此容器的公开端口。使用此配置，发送到Docker主机80端口的所有流量都将路由到blog容器。

2.3K4 0

docker 镜像启动命令_宿主机ping不通docker

大家好，又见面了，我是你们的朋友全栈君。 docker run ：创建一个新的容器并运行一个命令语法 docker run [OPTIONS] IMAGE [COMMAND] [ARG...]...docker run -P -d nginx:latest 使用镜像 nginx:latest，以后台模式启动一个容器,将容器的 80 端口映射到主机的 80 端口,主机的目录 /data 映射到容器的...docker run -p 80:80 -v /data:/data -d nginx:latest 绑定容器的 8080 端口，并将其映射到本地主机 127.0.0.1 的 80 端口上。...$ docker run -p 127.0.0.1:80:8080/tcp ubuntu bash 使用镜像nginx:latest以交互模式启动一个容器,在容器内执行/bin/bash命令。...runoob@runoob:~$ docker run -it nginx:latest /bin/bash root@b8573233d675:/# 版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人

2.4K1 0

Docker疑难杂症汇总(二)

问题起因:我们知道在 Docker 容器里面使用 root 用户的话，是不安全的，很容易出现越权的安全问题，所以一般情况下，我们都会使用普通用户来代替 root 进行服务的启动和管理的。...绑定到 IPv6 上 Docker 服务在启动的时候，将地址绑定到 IPv6 地址上面了，提示报错信息！...解决方法:通过如上所示的报错信息，可以看到服务的启动端口绑定到了 tcp6 上面了，但是对应的 socket 发现系统本身并不支持。...文件中，手动指定将对应服务的端口绑定到 ipv4 上面，如下所示。...文件，在配置中，阻止 Docker 错误的将端口映射到 IPv6 上，即可达到同样的效果，且不用再次修改多个服务的启动配置文件了。

1K1 0

Docker入门教程

用户从注册表中提取现有图像并将新镜像推送到该注册表。Docker Hub是由Docker，Inc.管理的托管注册表。还可以在您自己的环境中运行注册表，以使镜像更接近引擎。...准备要学习本教程，您需要：一个Ubuntu 16.04 Droplet，包括一个具有sudo权限的非root用户和防火墙。一个Docker Hub帐户。...默认情况下，该docker命令需要root权限。但是，您可以通过以docker组中的用户身份运行docker来执行不带sudo前缀的命令。...$ docker version 第二步 - 启动容器 Docker容器从存储在注册表中的现有镜像启动。Docker中的镜像可以存储在私有或公共存储库中。私有存储库要求用户在提取镜像之前进行身份验证。...以下是这些开关的说明： -p- 这告诉DockerEngine在主机的端口80上公开容器的端口80。由于Apache侦听端口80，我们需要在主机端口上公开它。

2.8K1 0

为什么构建容器需要 Namespace

在不同的 PID Namespace 中，进程可以拥有相同的 PID 号，利用 PID Namespace 可以实现每个容器的主进程为 1 号进程，而容器内的进程在主机上却拥有不同的PID。...一个比较典型的应用场景就是在主机上以非 root 用户运行的进程可以在一个单独的 User Namespace 中映射成 root 用户。...User Namesapce 的创建是可以不使用 root 权限的，下面我们以普通用户的身份创建一个 User Namespace，命令如下： # 创建并切换到普通用户 [root@docker-demo...这说明在隔离的 User Namespace 中，并不能获取到主机的 root 权限，也就是说 User Namespace 实现了用户和用户组的隔离。...而我的宿主机则至少有四个网卡。这是怎么回事呢？实际上，在 setns() 之后我看到的这两个网卡，正是我在前面启动的 Docker 容器里的网卡。

1.5K3 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭