私は、initようにsystemdを実行し、それからSYS_BOOT機能をドロップする必要があります。この特権付きドッカーコンテナは機能を削除できませんか?
docker run --rm --name mydocker --privileged \
-v /sys:/sys:ro \
-v /dev:/dev \
--stop-signal=SIGRTMIN+3 \
-p 8080:8080 \
-p 5005:5005 \
-p 8443:8443 \
--net=host \
--cap-drop=SYS_BOOT \
/usr/sbin/init
を実行していますよ。これは、コンテナのクリーンシャットダウンに必要です。上記のように実行すると、それはPID 1としてこのinit systemdに実行さんが、機能は削除されません。
CapInh: 0000003fffbfffff
CapPrm: 0000003fffbfffff
CapEff: 0000003fffbfffff
CapBnd: 0000003fffbfffff
CapAmb: 0000000000000000
任意のアイデア理由:SYS_BOOT機能がドロップされたとき
[[email protected] /]# cat /proc/1/status | grep Cap
CapInh: 0000003fffffffff
CapPrm: 0000003fffffffff
CapEff: 0000003fffffffff
CapBnd: 0000003fffffffff
CapAmb: 0000000000000000
が、それは次のようになります。これは動作していないのですか?ドッカーバージョン:
クライアント:
バージョン:1.12.3
APIのバージョン:1.24
囲碁バージョン:go1.6.3
Gitはコミット:
OS /アーチ::内蔵34a2ead
のLinux/AMD64を
サーバー:
バージョン:1.12.3
APIのバージョン:1.24
囲碁バージョン:go1.6.3
Gitはコミット:34a2ead
内蔵:
OS /アーチ:のLinux/AMD64
弱点のように見えます。ありがとうございました –