S🛸
docker:docker
Внутри контейнера
Size: a a a
2020 April 17
AM
Внутри контейнера
да всегда root, если не задано иное
S🛸
да всегда root, если не задано иное
И как задать иное?
AM
И как задать иное?
А зачем, если в контейнере
@
Всем привет. Помогите пожалуйста с одной проблемой. В контейнере я использую nmap, для этого нужны права root. Но я не хочу давать контейнеру root права. Как мне настроить, чтобы созданный пользователь мог запускать nmap сканирование от своего имени. Буду премного благодарен!
S🛸
А зачем, если в контейнере
Приложение в контейнере работает не от рута
AM
Приложение в контейнере работает не от рута
это вот прям точно? я знаю только одного пользователя docker из группы docker, и еще иногда он бывает в sudoers, и вообще, как настроишь, да и в Dockerfile вроде можно прописать своего пользователя, от кого запускать, а можно и не прописывать
S🛸
Всем привет. Помогите пожалуйста с одной проблемой. В контейнере я использую nmap, для этого нужны права root. Но я не хочу давать контейнеру root права. Как мне настроить, чтобы созданный пользователь мог запускать nmap сканирование от своего имени. Буду премного благодарен!
Права не хочешь давать контейнеру или пользователю в контейнере?
S🛸
это вот прям точно? я знаю только одного пользователя docker из группы docker, и еще иногда он бывает в sudoers, и вообще, как настроишь, да и в Dockerfile вроде можно прописать своего пользователя, от кого запускать, а можно и не прописывать
Точно, внутри докер файла создаётся пользователь от которого работает приложение
@
Права не хочешь давать контейнеру или пользователю в контейнере?
хочу дать права отдельному пользователю, чтобы он смог запустить nmap
AM
Точно, внутри докер файла создаётся пользователь от которого работает приложение
угу
docker exec -it -u 0 postgis_1 /bin/sh -c 'apt-get -y install sudo && sudo -u postgres psql -U postgres -d gis -c "SELECT * FROM database”’ работает,
потому что пользователь с uid 0 - это root, и далее запуск от root запускает шелл который устанавливает sudo и вызывается пользователем postgres созданным в докер-образе,через sudo команду для выполнения запроса к БД
docker exec -it -u 0 postgis_1 /bin/sh -c 'apt-get -y install sudo && sudo -u postgres psql -U postgres -d gis -c "SELECT * FROM database”’ работает,
потому что пользователь с uid 0 - это root, и далее запуск от root запускает шелл который устанавливает sudo и вызывается пользователем postgres созданным в докер-образе,через sudo команду для выполнения запроса к БД
AD
угу
docker exec -it -u 0 postgis_1 /bin/sh -c 'apt-get -y install sudo && sudo -u postgres psql -U postgres -d gis -c "SELECT * FROM database”’ работает,
потому что пользователь с uid 0 - это root, и далее запуск от root запускает шелл который устанавливает sudo и вызывается пользователем postgres созданным в докер-образе,через sudo команду для выполнения запроса к БД
docker exec -it -u 0 postgis_1 /bin/sh -c 'apt-get -y install sudo && sudo -u postgres psql -U postgres -d gis -c "SELECT * FROM database”’ работает,
потому что пользователь с uid 0 - это root, и далее запуск от root запускает шелл который устанавливает sudo и вызывается пользователем postgres созданным в докер-образе,через sudo команду для выполнения запроса к БД
зачем sudo если есть su?
AD
И почему сразу не указать -u postgres вместо -u 0 ?
S🛸
хочу дать права отдельному пользователю, чтобы он смог запустить nmap
Тогда докер тут не причем. Настрой нужные capability внутри контейнера
S🛸
угу
docker exec -it -u 0 postgis_1 /bin/sh -c 'apt-get -y install sudo && sudo -u postgres psql -U postgres -d gis -c "SELECT * FROM database”’ работает,
потому что пользователь с uid 0 - это root, и далее запуск от root запускает шелл который устанавливает sudo и вызывается пользователем postgres созданным в докер-образе,через sudo команду для выполнения запроса к БД
docker exec -it -u 0 postgis_1 /bin/sh -c 'apt-get -y install sudo && sudo -u postgres psql -U postgres -d gis -c "SELECT * FROM database”’ работает,
потому что пользователь с uid 0 - это root, и далее запуск от root запускает шелл который устанавливает sudo и вызывается пользователем postgres созданным в докер-образе,через sudo команду для выполнения запроса к БД
Зачем мне это?
AM
хочу дать права отдельному пользователю, чтобы он смог запустить nmap
в Dockerfile можно создтаь пользоватля группу и раздать права
AD
хочу дать права отдельному пользователю, чтобы он смог запустить nmap
Nmap requires the following capabilities: CAP_NET_RAW, CAP_NET_ADMIN, CAP_NET_BIND_SERVICE.
@
у меня даже не получается запустить nmap, находясь внутри контейнера. не понимаю ошибку
AD
там же написано - не может найти nse_main.lua