Docker --privileged 命令详解

Docker --privileged 命令详解

--privileged 是 Docker 的一个 高权限运行模式，它会赋予容器 几乎所有的宿主机权限，包括访问所有设备、内核模块、系统调用等。

1. --privileged 的作用

• 解除所有安全限制：默认情况下，Docker 容器运行在受限的 unprivileged 模式，而 --privileged 会：
  • 允许访问所有设备（如 /dev/sda、GPU、USB 设备等）。
  • 关闭 Capabilities 限制（容器可以执行 mount、chroot、ptrace 等高权限操作）。
  • 禁用 SELinux/AppArmor 安全策略（容器可以绕过内核安全限制）。
  • 允许修改内核参数（如 sysctl、iptables）。
• 典型用途：
  • 运行需要直接访问硬件的容器（如 GPU 计算、USB 设备）。
  • 调试或运行某些需要高权限的系统级工具（如 strace、gdb）。
  • 某些旧版 Docker 或特殊场景下临时解决权限问题（但不推荐）。

2. 基本用法

docker run --privileged [其他参数] <镜像> [命令]

示例：

# 以特权模式运行 Ubuntu 容器
docker run -it --privileged ubuntu bash

# 特权模式下挂载宿主机设备（如 GPU）
docker run --privileged --device /dev/nvidia0:/dev/nvidia0 nvidia/cuda nvidia-smi

3. 替代方案（更安全）

--privileged 极其危险，应尽量使用更安全的替代方案：

(1) 仅挂载必要的设备 (--device)

docker run --device /dev/nvidia0:/dev/nvidia0 nvidia/cuda nvidia-smi

(2) 仅授予必要的 Linux Capabilities (--cap-add)

# 允许容器使用 mount
docker run --cap-add SYS_ADMIN -it ubuntu bash

# 允许容器修改网络（如 ifconfig）
docker run --cap-add NET_ADMIN -it ubuntu bash

(3) 使用 --gpus 访问 GPU（推荐）

docker run --gpus all nvidia/cuda nvidia-smi

4. 使用 --privileged 的风险

⚠️ 安全隐患

1. 容器可以控制宿主机

   • 容器可以挂载宿主机文件系统（mount /dev/sda /mnt），读取/修改任意文件。
   • 可以修改内核参数（sysctl）、调整 iptables 规则。
   • 可以加载内核模块（insmod），甚至触发内核崩溃。

2. 恶意软件可以逃逸到宿主机

   • 如果容器内运行恶意代码，可能直接攻击宿主机（如 Dirty Pipe、CVE-2022-0185）。

3. 违反最小权限原则

   • 容器本应是隔离的环境，--privileged 破坏了 Docker 的安全模型。

🔒 适用场景（谨慎使用）

• 临时调试：如需要 strace、gdb 调试容器内进程。
• 特殊硬件访问：如某些旧版 Docker 无法通过 --device 正确挂载 GPU/USB。
• 内核开发/测试：如需要修改内核参数或加载模块。

5. 最佳实践

✅ 该用 --privileged 的情况

• 必须访问所有设备（如某些旧版 Docker GPU 支持不足）。
• 运行需要完整 root 权限的特殊容器（如 LinuxKit、Kubernetes 节点容器）。

❌ 不该用 --privileged 的情况

• 普通应用容器（如 Web 服务、数据库）。
• 生产环境（除非有严格的安全审计）。
• 运行不可信的镜像（如从互联网下载的未验证镜像）。

6. 检查容器是否运行在特权模式

# 进入容器后检查
cat /proc/self/status | grep CapEff

• 普通容器：CapEff: 00000000a80425fb
• 特权容器：CapEff: 0000003fffffffff（全 f 表示所有权限）

7. 总结

核心建议：
🔹 尽量避免使用 --privileged，优先使用 --gpus、--device、--cap-add。
🔹 仅在调试或特殊需求时临时启用，并在完成后立即关闭。
🔹 生产环境禁止使用，除非有严格的安全管控。