--cap-add
参数可以用于向 Docker 容器添加不同的权限。除了 NET_ADMIN
,还有一些其他常用的权限值,包括:
SYS_ADMIN
:添加系统管理员权限,允许容器内的进程执行系统级别的管理操作,如挂载文件系统、设置时间、修改主机名等。SYS_PTRACE
:添加系统追踪权限,允许容器内的进程使用ptrace
系统调用,用于调试和监视其他进程。SYS_CHROOT
:添加切换根目录权限,允许容器内的进程使用chroot
系统调用,在指定的目录下创建一个新的根文件系统环境。SYS_MODULE
:添加模块加载/卸载权限,允许容器内的进程加载和卸载内核模块。SYS_RAWIO
:添加原始 I/O 权限,允许容器内的进程进行对设备的原始读写操作,绕过操作系统提供的文件系统抽象。SYS_TIME
:添加时间管理权限,允许容器内的进程修改系统时间。
这只是一些常见的权限值,实际上还有其他更多的权限可以使用。在使用 --cap-add
参数时,需要谨慎评估每个权限的安全性和必要性,确保容器内的进程只能执行合适和可信的操作。