docker - 为什么要求在 Kubernetes PodSecurityPolicy 冗余中删除所有功能，非 root + 禁止特权升级？

为什么对于非 root + 禁止特权提升删除所有功能都是多余的？

因为您需要特权升级才能使用“新”功能，所以实际上是在execve系统调用中allowPrivilegeEscalation: false禁用setuid ，以防止使用任何新功能。 还如文档中所示：“一旦设置了位，它就会在 fork、clone 和 execve 之间继承，并且不能取消设置”。更多信息在这里。

这与privileged: false呈现requiredDropCapabilities: [ALL]冗余相结合。

这里等效的 Docker 选项是：

• --user=whatever=>privileged: false
• --security-opt=no-new-privileges=>allowPrivilegeEscalation: false
• --cap-drop=all=>requiredDropCapabilities: [ALL]

Docker似乎无法做到这一点

这就是 Docker 正在做的事情，在您指定非特权用户的那一刻，所有有效功能都将被删除 ( CapEff: 0000000000000000)，即使您指定--cap-add SYS_ADMIN

这与 --security-opt=no-new-privileges作为选项相结合呈现--cap-drop=all冗余。

请注意，docker 的默认功能掩码似乎包括SYS_ADMIN

$ docker run --rm ubuntu grep Cap /proc/self/status
CapInh: 00000000a80425fb
CapPrm: 00000000a80425fb
CapEff: 00000000a80425fb
CapBnd: 00000000a80425fb
CapAmb: 0000000000000000
$ capsh --decode=00000000a82425fb
0x00000000a82425fb=cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw,cap_sys_chroot,cap_sys_admin,cap_mknod,cap_audit_write,cap_setfcap

00000000a82425fb在没有指定任何--cap-add选项的情况下为什么相同是有道理的。

但是其他容器运行时可以实现它，那么这个评论只是 Docker 特定的吗？

我想，所以你可能会遇到这样一种情况，即privileged: false没有allowPrivilegeEscalation: false有效地禁用功能，并且可能会被丢弃requiredDropCapabilities:（虽然，我不明白为什么另一个运行时会想要改变 Docker 行为）。