cap_add 和 cap_drop 的说明较为简洁:
增加或删除容器的能力。请参阅 man 7 capabilities 获取完整列表。
这些元素有顺序吗?比如先添加再删除?或者说顺序是否重要(在 YAML 字典中是否支持)?
当 cap_add 或者 cap_drop 中包含了 ALL 会发生什么?
我知道 Docker Linux 默认的一组能力,定义在 https://github.com/moby/moby/blob/master/oci/caps/defaults.go#L4。
cap_add和cap_drop键定义顺序。下面的第一个匹配项将终止列表。
privileged: true:完全忽略 cap_add 和 cap_drop,返回所有可用的权限。cap_add 和 cap_drop 都是空的:返回 Docker 默认的权限集合。cap_add 包含 ALL:返回除了 cap_drop 中列出的权限之外的所有权限(忽略后者中的 ALL)。cap_drop 包含 ALL:仅返回 cap_add 中的权限,忽略任何 Docker 默认的权限。cap_drop 中的默认权限集合中删除所有权限,然后添加 cap_add 中的权限,最后返回结果。如果我没记错的话,这也可以更加易懂地表示如下...
privileged: true |
|---|
所有特权:忽略cap_add和cap_drop(老板模式) |
没有 cap_add |
cap_add: ['CAP_A'] |
cap_add: ['ALL'] |
|
|---|---|---|---|
没有cap_drop |
默认的能力 | 默认的能力 + CAP_A |
全部的能力 |
cap_drop: ['CAP_Z'] |
默认的能力 -CAP_Z |
默认的能力 -CAP_Z +CAP_A |
全部的能力 -CAP_Z |
cap_drop: ['ALL'] |
没有能力 | CAP_A |
全部的能力 |
cap_drop: ALL并遵循最小特权原则:
无 cap_add |
cap_add: ['CAP_A'] |
||
|---|---|---|---|
cap_drop: ['ALL'] |
无特权 | CAP_A |