背景:我正在运行一个Docker容器,需要加载/卸载一个内核模块,该模块使连接到远程服务器的USB设备在主机上可用,我随后要将其在容器中使用。
使用--privileged
和对/lib/modules
和/dev
进行绑定挂载时,它可以正常工作。
现在,我想去除特权模式,并只允许最少必要的访问。 我尝试了--cap-add=all
,但那似乎还不够。 --privileged
还允许了什么?
背景:我正在运行一个Docker容器,需要加载/卸载一个内核模块,该模块使连接到远程服务器的USB设备在主机上可用,我随后要将其在容器中使用。
使用--privileged
和对/lib/modules
和/dev
进行绑定挂载时,它可以正常工作。
现在,我想去除特权模式,并只允许最少必要的访问。 我尝试了--cap-add=all
,但那似乎还不够。 --privileged
还允许了什么?
设置特权应该修改:
这是我记得的,如果这不能解决你的问题,我可以在代码中找到更多信息。
p.s. 这里有一个关于--privileged
功能的文档链接:https://docs.docker.com/engine/reference/run/#runtime-privilege-and-linux-capabilities