pod 禁止执行的 dmesg

2024-04-27 20:28
文章标签 执行 禁止 pod dmesg

本文主要是介绍pod 禁止执行的 dmesg,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文章目录

  • 为什么 pod 里面执行的 dmesg 命令和系统里面的一样,不是应该环境分离吗?
    • 原因解释
    • 安全和隔离的考虑
      • 修改内核参数

为什么 pod 里面执行的 dmesg 命令和系统里面的一样,不是应该环境分离吗?

在 Kubernetes 环境中,尽管 Pod 提供了与主机系统隔离的运行环境,但它们仍然与宿主机共享某些底层资源和环境,如内核。这种设计使得在任何 Pod 内部执行的 dmesg 命令显示的是宿主机的内核日志,而不是特定于 Pod 的日志。

原因解释

内核共享:所有在同一宿主机上的容器(包括 Pod 内的容器)都运行在同一个操作系统内核之上。dmesg 命令显示的是内核的环环缓冲区消息,这些消息是系统级别的,不是隔离在单独的容器或 Pod 中的。

安全和隔离的考虑

修改内核参数

在宿主机上,可以修改 kernel.dmesg_restrict 内核参数。当设置为 1 时,限制非特权用户禁止访问 dmesg,这样设置后,只有具有 CAP_SYS_ADMIN 能力的用户才能访问 dmesg

  • kernel.dmesg_restrict 为 0
    pod 拥有执行 dmesg 权限
# kubectl apply -f - <<EOF
apiVersion: v1
kind: Pod
metadata:name: ubuntu-dmesg
spec:nodeSelector:kubernetes.io/hostname: "172.31.1.127"containers:- name: ubuntuimage: ubuntu:20.04command: ["sh", "-c", "sleep infinity"] # 持续运行容器
EOF
pod/ubuntu-dmesg created# kubectl exec -it ubuntu-dmesg -- dmesg | head -n 2
Defaulted container "ubuntu" out of: ubuntu, k8tz (init)
[    0.000000] Linux version 5.4.0-147-generic (buildd@lcy02-amd64-067) (gcc version 9.4.0 (Ubuntu 9.4.0-1ubuntu1~20.04.1)) #164-Ubuntu SMP Tue Mar 21 14:23:17 UTC 2023 (Ubuntu 5.4.0-147.164-generic 5.4.231)
[    0.000000] Command line: BOOT_IMAGE=/boot/vmlinuz-5.4.0-147-generic root=/dev/vda1 ro true intel_idle.max_cstate=0 console=ttyS0 console=tty0 net.ifnames=0 biosdevname=0 mitigations=off# kubectl exec -it ubuntu-dmesg -- sysctl kernel.dmesg_restrict
kernel.dmesg_restrict = 0
  • kernel.dmesg_restrict 为 1
    pod 默认没有执行 dmesg 权限,需要赋权
# kubectl apply -f - <<EOF
apiVersion: v1
kind: Pod
metadata:name: ubuntu-dmesg-1
spec:nodeSelector:kubernetes.io/hostname: "172.31.1.127"containers:- name: ubuntuimage: ubuntu:20.04command: ["sh", "-c", "sleep infinity"] # 持续运行容器EOF
pod/ubuntu-dmesg-1 created
# kubectl exec -it ubuntu-dmesg-1 -- dmesg | head -n 2
dmesg: read kernel buffer failed: Operation not permitted
command terminated with exit code 1
# kubectl exec -it ubuntu-dmesg-1 -- sysctl kernel.dmesg_restrict
kernel.dmesg_restrict = 1### 赋予权限
# kubectl apply -f - <<EOF
apiVersion: v1
kind: Pod
metadata:name: ubuntu-dmesg-2
spec:nodeSelector:kubernetes.io/hostname: "172.31.1.127"containers:- name: ubuntuimage: ubuntu:20.04command: ["sh", "-c", "sleep infinity"] # 持续运行容器securityContext:capabilities:add:- SYS_ADMIN # 添加 CAP_SYS_ADMIN 权限
EOF
pod/ubuntu-dmesg-2 created
# kubectl exec -it ubuntu-dmesg-2 -- dmesg | head -n 2
[    0.000000] Linux version 5.4.0-147-generic (buildd@lcy02-amd64-067) (gcc version 9.4.0 (Ubuntu 9.4.0-1ubuntu1~20.04.1)) #164-Ubuntu SMP Tue Mar 21 14:23:17 UTC 2023 (Ubuntu 5.4.0-147.164-generic 5.4.231)
[    0.000000] Command line: BOOT_IMAGE=/boot/vmlinuz-5.4.0-147-generic root=/dev/vda1 ro true intel_idle.max_cstate=0 console=ttyS0 console=tty0 net.ifnames=0 biosdevname=0 mitigations=off
# kubectl exec -it ubuntu-dmesg-2 -- sysctl kernel.dmesg_restrict
kernel.dmesg_restrict = 1

这篇关于pod 禁止执行的 dmesg的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/941449

相关文章

禁止平板,iPad长按弹出默认菜单事件

禁止平板,iPad长按弹出默认菜单事件

通过监控按下抬起时间差来禁止弹出事件,把以下代码写在要禁止的页面的页面加载事件里面即可     var date;document.addEventListener('touchstart', event => {date = new Date().getTime();});document.addEventListener('touchend', event => {if (new
阅读更多...
maven 编译构建可以执行的jar包

maven 编译构建可以执行的jar包

💝💝💝欢迎莅临我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。 推荐:「stormsha的主页」👈,「stormsha的知识库」👈持续学习,不断总结,共同进步,为了踏实,做好当下事儿~ 专栏导航 Python系列: Python面试题合集,剑指大厂Git系列: Git操作技巧GO
阅读更多...
禁止复制的网页怎么复制

禁止复制的网页怎么复制

禁止复制的网页怎么复制 文章目录 禁止复制的网页怎么复制前言准备工作操作步骤一、在浏览器菜单中找到“开发者工具”二、点击“检查元素(inspect element)”按钮三、在网页中选取需要的片段,锁定对应的元素四、复制被选中的元素五、粘贴到记事本,以`.html`为后缀命名六、打开`xxx.html`,优雅地复制 前言 在浏览网页的时候,有的网页内容无法复制。比如「360
阅读更多...
jenkins 插件执行shell命令时,提示“Command not found”处理方法

jenkins 插件执行shell命令时,提示“Command not found”处理方法

首先提示找不到“Command not found,可能我们第一反应是查看目标机器是否已支持该命令,不过如果相信能找到这里来的朋友估计遇到的跟我一样,其实目标机器是没有问题的通过一些远程工具执行shell命令是可以执行。奇怪的就是通过jenkinsSSH插件无法执行,经一番折腾各种搜索发现是jenkins没有加载/etc/profile导致。 【解决办法】: 需要在jenkins调用shell脚
阅读更多...
Lua 脚本在 Redis 中执行时的原子性以及与redis的事务的区别

Lua 脚本在 Redis 中执行时的原子性以及与redis的事务的区别

在 Redis 中,Lua 脚本具有原子性是因为 Redis 保证在执行脚本时,脚本中的所有操作都会被当作一个不可分割的整体。具体来说,Redis 使用单线程的执行模型来处理命令,因此当 Lua 脚本在 Redis 中执行时,不会有其他命令打断脚本的执行过程。脚本中的所有操作都将连续执行,直到脚本执行完成后,Redis 才会继续处理其他客户端的请求。 Lua 脚本在 Redis 中原子性的原因
阅读更多...
Smarty模板执行原理

Smarty模板执行原理

为了实现程序的业务逻辑和内容表现页面的分离从而提高开发速度,php 引入了模板引擎的概念,php 模板引擎里面最流行的可以说是smarty了,smarty因其功能强大而且速度快而被广大php web开发者所认可。本文将记录一下smarty模板引擎的工作执行原理,算是加深一下理解。 其实所有的模板引擎的工作原理是差不多的,无非就是在php程序里面用正则匹配将模板里面的标签替换为php代码从而将两者
阅读更多...
(function() {})();只执行一次

(function() {})();只执行一次

测试例子: var xx = (function() {     (function() { alert(9) })(); alert(10)     return "yyyy";  })(); 调用: alert(xx); 在调用的时候,你会发现只弹出"yyyy"信息,并不见弹出"10"的信息!这也就是说,这个匿名函数只在立即调用的时候执行一次,这时它已经赋予了给xx变量,也就是只是
阅读更多...
Java程序到CPU上执行 的步骤

Java程序到CPU上执行 的步骤

相信很多的小伙伴在最初学习编程的时候会容易产生一个疑惑❓,那就是编写的Java代码究竟是怎么一步一步到CPU上去执行的呢?CPU又是如何执行的呢?今天跟随小编的脚步去化解开这个疑惑❓。 在学习这个过程之前,我们需要先讲解一些与本内容相关的知识点 指令 指令是指导CPU运行的命令,主要由操作码+被操作数组成。 其中操作码用来表示要做什么动作,被操作数是本条指令要操作的数据,可能是内存地址,也
阅读更多...
Android下执行linux命令

Android下执行linux命令

最近在开发过程中 使用了几个命令来对   手机的文件的权限进行修改;现在记录一下: 用到的方法: 1:判断是否有Root权限;  /**      * 判断当前手机是否有ROOT权限      * @return      */     public static boolean isRoot(){         boolean bool = false;         try{
阅读更多...
禁止 CTRL+ALT+DEL

禁止 CTRL+ALT+DEL

在win98 里可以用   Public Declare Function SystemParametersInfo Lib "user32" Alias "SystemParametersInfoA" (ByVal uAction As Long, ByVal uParam As Long, ByRef lpvParam As Any, ByVal fuWinIni As Long)
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2