如何通过Docker的Inspect-Format命令获取容器详细安全上下文配置?
- 内容介绍
- 文章标签
- 相关推荐
本文共计993个文字,预计阅读时间需要4分钟。
容器的安全性上下文主要取决于启动时传入的参数 `security-opt` 决定,这些参数最终会固化在 `HostConfig.SecurityOpt` 字段中。直接使用 `inspect` 命令可以查看容器的初始配置,但请注意:
实操建议:
- 用
docker inspect --format='{{.HostConfig.SecurityOpt}}' my-container查看是否设置了no-new-privileges、label=type:xxx_t或apparmor=profile-name等值 - 如果输出是
[]或<no value>,说明容器未启用额外安全策略,默认继承宿主机策略 - 注意区分
SecurityOpt和IpcMode/PidMode:后者虽影响隔离性,但不属于 SELinux/AppArmor/NO_NEW_PRIVS 这类安全上下文范畴
提取SELinux或AppArmor标签(label=… 或 apparmor=…)
当容器启用了 SELinux 或 AppArmor,对应策略名会作为 --security-opt 的值写入 HostConfig.SecurityOpt,但不会自动展开成完整上下文字符串。inspect 本身不解析策略内容,只暴露配置项。
本文共计993个文字,预计阅读时间需要4分钟。
容器的安全性上下文主要取决于启动时传入的参数 `security-opt` 决定,这些参数最终会固化在 `HostConfig.SecurityOpt` 字段中。直接使用 `inspect` 命令可以查看容器的初始配置,但请注意:
实操建议:
- 用
docker inspect --format='{{.HostConfig.SecurityOpt}}' my-container查看是否设置了no-new-privileges、label=type:xxx_t或apparmor=profile-name等值 - 如果输出是
[]或<no value>,说明容器未启用额外安全策略,默认继承宿主机策略 - 注意区分
SecurityOpt和IpcMode/PidMode:后者虽影响隔离性,但不属于 SELinux/AppArmor/NO_NEW_PRIVS 这类安全上下文范畴
提取SELinux或AppArmor标签(label=… 或 apparmor=…)
当容器启用了 SELinux 或 AppArmor,对应策略名会作为 --security-opt 的值写入 HostConfig.SecurityOpt,但不会自动展开成完整上下文字符串。inspect 本身不解析策略内容,只暴露配置项。