CAP_SYS_RAWIO:允许直接访问/devport,/dev/mem,/dev/kmem及原始块设备 CAP_SYS_CHROOT:允许使用chroot()系统调用 CAP_SYS_PTRACE:允许跟踪任何进程 CAP_SYS_PACCT:允许执行进程的BSD式审计 CAP_SYS_ADMIN:允许执行系统管理任务,如加载或卸载文件系统、设置磁盘配额等 CAP_SYS_BOOT:允许重新启动系统 CAP_SYS_NICE...
BLOCK_SUSPEND CAP_DAC_READ_SEARCH CAP_NET_ADMIN CAP_SYS_NICE CAP_WAKE_ALARM MAC_ADMIN SYS_BOOT SYS_RESOURCE BPF CAP_IPC_LOCK CAP_NET_BROADCAST CAP_SYS_PACCT CHECKPOINT_RESTORE MAC_OVERRIDE SYSLOG SYS_TIME CAP_AUDIT_CONTROL CAP_IPC_OWNER CAP_PERFMON CAP_SYS_PTRACE DAC_READ_SEARCH NET_ADMIN...
CAP_SYS_RAWIO:允许直接访问/devport,/dev/mem,/dev/kmem及原始块设备 CAP_SYS_CHROOT:允许使用chroot()系统调用 CAP_SYS_PTRACE:允许跟踪任何进程 CAP_SYS_PACCT:允许执行进程的BSD式审计 CAP_SYS_ADMIN:允许执行系统管理任务,如加载或卸载文件系统、设置磁盘配额等 CAP_SYS_BOOT:允许重新启动系统 CAP_SYS_NICE...
对于Docker,你可以运行第二个调试容器(它确实有一个 shell 和调试工具,例如 alpine:latest),并使其共享你的最小容器的 PID 命名空间,例如通过 docker run -it --rm --pid=container: --cap-add SYS_PTRACE alpine sh 对于Kubernetes,你可以使用短期容器,见这里的例子 12. 使用受信任的基础镜像 一个受信任的...
--cap-add SYS_PTRACE alpine sh 对于Kubernetes,你可以使用短期容器,见这里的例子 12使用受信任的基础镜像 一个受信任的镜像指的是经过某人(要么是你自己的组织,要么是其他人)按照比如说某种安全级别审核的镜像。这对具有高安全要求和规定的受管制行业(银行、航空航天等)来说可能特别重要。
SYS_PTRACE Trace arbitrary processes using ptrace(2). SYS_RAWIO Perform I/O port operations (iopl(2) and ioperm(2)). SYS_RESOURCE Override resource Limits. SYS_TIME Set system clock (settimeofday(2), stime(2), adjtimex(2)); set real-time (hardware) clock. SYS_TTY_CONFIG Use vhangup...
想在docker内部调试gdb解决办法就是create和run的时候带上--cap-add sys_ptrace docker run -itd --cap-add sys_ptrace -p 10021:22 -p 8083:80 destop-ubuntu ssh root@127.0.0.1 -p 10022 //常用密码1 图片1.png root@82fdb0d63727中82fdb0d63727为container id ...
$ docker run -t -i --rm--cap-add=NET_ADMIN ubuntu:14.04ip link add dummy0 type dummy 如果要挂载一个FUSE文件系统,那么就需要--cap-add和--device了。 $ docker run --rm-it --cap-add SYS_ADMIN sshfs sshfs sven@10.10.10.20:/home/sven /mnt ...
CAP_SYS_PTRACE * Trace arbitrary processes using ptrace(2); 所以,CAP_SYS_PTRACE的作用是让你像 root 一样,可以对任何用户拥有的任意进程进行ptrace。你不需要用它来对一个只是由你的用户拥有的普通进程进行ptrace。 我用第三种方法测试了一下(LCTT 译注:此处可能原文有误) —— 我用docker run --cap-ad...
SYS_PTRACE Trace arbitrary processes using ptrace(2). SYS_RAWIO Perform I/O port operations (iopl(2) and ioperm(2)). SYS_RESOURCE Override resource Limits. SYS_TIME Set system clock (settimeofday(2), stime(2), adjtimex(2)); set real-time (hardware) clock. SYS_TTY_CONFIG Use vhangup...