- 综合排序
- 最热优先
- 最新优先
The SUID sandbox helper binary was found, but is not configured correctly. Rather than run without s
1、启用用户名称空间: sudo sysctl kernel.unprivileged_userns_clone=1,但每次开机都要运行该命令。 3、运行的时候加上免沙箱命令:--no-sandbox 4、开机时自启动用户名称空间:echo 'kernel.unprivileged_userns_clone=1' > /etc/sysctl.d /userns.conf 该命令只适用于Debian/Ubuntu系列Linux发行版,未测试其他发行版。
44410编辑于 2025-07-16- 来自专栏开源部署
隔离 Docker 容器中的用户
当开启 docker 对 user namespace 的支持时(docker 的 userns-remap 功能),我们可以指定不同的用户映射到容器中。 或者一切从简,让 docker 为我们包办这些繁琐的事情,直接把 docker daemon 的 userns-rempa 参数指定为 "default": { "userns-remap": "default 在容器中禁用 user namespace 一旦为 docker daemon 设置了 "userns-remap" 参数,所有的容器默认都会启用用户隔离的功能(默认创建一个新的 user namespace 有些情况下我们可能需要回到没有开启用户隔离的场景,这时可以通过 --userns=host 参数为单个的容器禁用用户隔离功能。 : $ docker run -d --userns=host --name sleepme ubuntu sleep infinity 查看进程信息: image.png 进程的有效用户又成 root
4.2K10编辑于 2022-07-19 - 来自专栏巫山跬步
命名空间介绍之五:用户命名空间
为了开始探究用户命名空间,我们将看一个小例子 demo_userns.c,该程序在新的用户空间中创建了一个子进程。该子进程仅展示其有效用户和组 ID 及 capabilities。 /demo_userns eUID = 65534; eGID = 65534; capabilities: =ep 程序的输出展示了一些有趣的细节。 再次调用 demo_userns 程序,但这次只调用一个命令行参数(任何字符串)。程序会循环,每隔几秒显示凭证和 capabilities: $ . : =ep 现在,切换到另一个终端窗口 --- 在另一个命名空间(即运行 demo-userns 进程的父用户命名空间)中运行 shell 的终端,并在 demo-userns 创建的新用户命名空间中为子进程创建一个用户 4712 1000 demo_userns # This is the parent 4713 1000 demo_userns
4.2K10发布于 2019-11-01 - 来自专栏巫山跬步
命名空间介绍之六:用户命名空间的延伸
可通过一个小程序 userns_setns_test.c 来证明第三条规则。该程序采用一个命令行参数:一个 /proc/PID/ns/user 文件(标识用户命名空间)的路径名。 它在新用户命名空间中创建一个子进程,然后父(与启动 userns_setns_test 程序的 shell 在同一用户命名空间)进程和子进程都会试图通过 setns() 加入该命名空间;如上所述,setns 为了证明,使用该程序和前面文章中的 userns_child_exec.c 。首先,使用该程序启动一个 shell(创建一个被命名为 ksh 的进程),该 shell 将运行于新用户命名空间中。 /userns_child_exec -U -M '0 1000 1' -G '0 1000 1' ksh ksh$ echo $$ # Obtain PID 另一方面,被 userns_setns_test 创建的子进程位于不同的命名空间(4026532319)--- 运行 ksh 进程的命名空间的同级命名空间。
2.6K10发布于 2019-11-02 - 来自专栏caoayu的分享
Linux 安装PicGo问题
查阅资料说时内核的问题,有两种比较简单的方式解决 每次启动使用沙箱,加上参数 --no-sandbox 开机时自启动用户名称空间:echo 'kernel.unprivileged_userns_clone =1' > /etc/sysctl.d/userns.conf,不推荐,可能会因为权限问题无法设定,所以可以写一个bash脚本发送到桌面来启动 cd /path/to/app .
1.4K20发布于 2020-09-23 - 来自专栏绿盟科技安全情报
【漏洞通告】Linux内核权限提升漏洞(CVE-2020-14386)通告
acf69c946233259ab4d64f8869d4037a198c7f06 4.2 其他防护措施 一、关闭CAP_NET_RAW功能 RHEL8的操作步骤如下: # echo"user.max_user_namespaces=0" > /etc/sysctl.d/userns.conf # sysctl -p/etc/sysctl.d/userns.conf 单个可执行程序操作步骤如下: # 查看程序的 cap 权限getcap /bin/ping/bin/ping cap_net_raw
1.7K20发布于 2020-09-29 - 来自专栏程序技术知识
Docker: compose-file配置参数整理
address,ipv6_address -pid -ports -restart -security_opt -stop_grace_period -stop_signal -sysctls -tmpfs -userns_mode
73920编辑于 2022-07-28 - 来自专栏FreeBuf
KRIe:一款带有eBPF的Linux内核运行时安全检测工具
stack_tracer_enabled expected_value: 0 size: 4 - symbol: system/unprivileged_userns_clone expected_value: 0 size: 4 - symbol: system/unprivileged_userns_apparmor_policy
1.2K20编辑于 2023-02-10 - 来自专栏二哥聊云原生
千年的铁树开了花。聊聊account
史上,Docker发展出了两种用user namespace来隔离container的技术:userns-remap mode 和 rootless mode。 在userns-remap mode下,dockerd依旧以root运行,但对container,正如名字所暗示的,它通过在user namespace里将uid/gid 和subordinate user 你可以通过在启动dockerd时指定--userns-remap来开启这个模式。 rootless mode用于对rootless container的支持。
72520编辑于 2021-12-06 - 来自专栏Debian中国
Debian 9修复18个重要的Linux 4.9 LTS内核安全漏洞
Debian 在默认情况下禁用非特权用户命名空间,但是如果启用(通过 kernel.unprivileged_userns_clone sysctl ),那么 CVE-2017-17448 可以被任何本地用户利用
1.4K40发布于 2018-12-20 - 来自专栏后端开发技术
云原生时代的Docker容器监控实践:基于cAdvisor、Node Exporter与Prometheus的全面指南
/lib/docker:ro\--volume=/dev/disk/:/dev/disk:ro\--publish=8080:8080\--detach=true\--name=cadvisor\--userns --userns=host:允许容器用宿主机的用户命名空间。--privileged:授予容器扩展的权限,使其能访问宿主机的底层资源,这是cAdvisor正常工作所必需的。 dockerrun-d\--net="host"\--pid="host"\--userns="host"\-v"/:/host:ro,rslave"\--namenode_exporter\quay.io --userns="host":容器共享宿主机的用户命名空间。-v"/:/host:ro,rslave":挂载宿主机的根文件系统到容器内的/host目录,以只读(ro)和rslave(递归共享)模式。 dockerrun-d\--net="host"\--pid="host"\--userns="host"\-v"/:/host:ro,rslave"\--namenode_exporter\quay.io
66210编辑于 2025-11-16 - 来自专栏云服务业务
腾讯云渠道商:云服务器 Docker 实战指南 避坑技巧与高效部署
启用JSON日志驱动docker run --log-driver=json-file --log-opt max-size=100m配合腾讯云 CLS 实现日志实时分析安全加固:启用用户命名空间:--userns
19010编辑于 2026-01-20 - 来自专栏康怀帅的专栏
Docker Compose version 3 使用详解
cgroup_parent container_name devices tmpfs external_links links network_mode security_opt stop_signal sysctls userns_mode or soft/hard limits as a mapping. ulimits: nproc: 65535 nofile: soft: 20000 hard: 40000 userns_mode See dockerd for more information. userns_mode: "host" volumes version: "3.2" services: web: image
18.9K1913发布于 2018-02-28 - 来自专栏喵叔's 专栏
《Docker极简教程》--Docker服务管理和监控--Docker服务的管理
例如: USER appuser 限制容器的访问权限: 在 Docker 守护进程配置中,你可以使用 --userns-remap 参数来启用用户命名空间重映射。 dockerd --userns-remap=default 限制容器的系统调用: 使用安全增强型 Linux (SELinux) 或者 AppArmor 等安全模块,可以限制容器的系统调用和访问权限 使用容器的安全选项: Docker 提供了一些安全选项,如启用容器的只读文件系统 (--read-only),使用命名空间 (--userns) 和资源限制 (--cap-drop) 等,可以帮助增强容器的安全性
1.8K00编辑于 2024-05-24 - 来自专栏后端开发技术
打开云原生大门:了解Linux命名空间的奥秘和Docker容器隔离技术
添加以下选项:{ "userns-remap":"default", "registry-mirrors":[ "https://hub-mirror.c "https://docker.mirrors.ustc.edu.cn", "https://registry.docker-cn.com" ] }"userns-remap userns-remap":"user:group":指定一个已存在的用户和组。如果 /etc/docker/daemon.json 文件不存在,则需要手动创建。 镜像源配置也可以在这个文件中进行。 Security Options 中增加了 userns。查看用户配置:宿主机上会生成默认的用户配置信息。/etc/subuid:存储用户 ID 范围信息。 可以通过 --hostname 和 --domainname 参数来指定容器的主机名和域名:docker run -d --domainname www.fly.com --hostname abc --userns
51510编辑于 2025-05-02 - 来自专栏康怀帅的专栏
在开发环境使用 Docker
Use Docker EE if possible, with userns mapping for greater isolation of Docker processes from host processes
1.8K40发布于 2018-02-28 - 来自专栏Laikee Tech Space
LXD 创建LVM以及手动指定IP (centos安装)
-update-kernel="$(grubby --default-kernel)" echo "user.max_user_namespaces=3883" > /etc/sysctl.d/99-userns.conf
48820编辑于 2023-10-14 Linux cgroup技术浅解
cgroup_fs_type = { .name = "cgroup", .mount = cgroup_mount, .kill_sb = cgroup_kill_sb, .fs_flags = FS_USERNS_MOUNT
27900编辑于 2025-01-24- 来自专栏从运维安全到DevSecOps
Docker安全入门与实战(四)
--ipc string IPC namespace to use PID: --pid string PID namespace to use User: --userns 任务 使用参数userns-remap启动Docker daemon时,将启用namespace。运行以下命令以修改Docker daemon设置并重新启动该进程。 docker/daemon.json { "bip":"172.18.0.1/24", "debug": true, "storage-driver": "overlay", "userns-remap
54230编辑于 2022-06-21 - 来自专栏绿盟科技研究通讯
Linux内核漏洞——CVE-2022-0185分析与思考
在Ubuntu系统中,可以使用以下命令来禁用非特权用户命名空间: sysctl -w kernel.unprivileged_userns_clone=0 Red Hat 用户可以使用以下命令来禁用用户命名空间 : echo"user.max_user_namespaces=0" > /etc/sysctl.d/userns.conf sysctl -p/etc/sysctl.d/userns.conf 对于在
3.2K20编辑于 2022-04-14
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号