--cap-add 参数可以用于向 Docker 容器添加不同的权限。除了 NET_ADMIN,还有一些其他常用的权限值,包括:
SYS_ADMIN:添加系统管理员权限,允许容器内的进程执行系统级别的管理操作,如挂载文件系统、设置时间、修改主机名等。SYS_PTRACE:添加系统追踪权限,允许容器内的进程使用ptrace系统调用,用于调试和监视其他进程。SYS_CHROOT:添加切换根目录权限,允许容器内的进程使用chroot系统调用,在指定的目录下创建一个新的根文件系统环境。SYS_MODULE:添加模块加载/卸载权限,允许容器内的进程加载和卸载内核模块。SYS_RAWIO:添加原始 I/O 权限,允许容器内的进程进行对设备的原始读写操作,绕过操作系统提供的文件系统抽象。SYS_TIME:添加时间管理权限,允许容器内的进程修改系统时间。
这只是一些常见的权限值,实际上还有其他更多的权限可以使用。在使用 --cap-add 参数时,需要谨慎评估每个权限的安全性和必要性,确保容器内的进程只能执行合适和可信的操作。
