Set capabilities for a Container
基于 Linux capabilities，您可以授予某个进程某些特权 ， 而不授予 root 用户的所有特权 。
要为容器添加或删除 Linux 功能，请在容器清单的 securityContext 部分中包含 capability 字段 。
输出显示了容器的进程 id( pid ):
输出显示了进程的能力位图:
解码
接下来，运行一个与前一个容器相同的容器，只是它有额外的功能集 。
进程的能力位图:
进程的能力位图值解码
有关常 capability 数的定义，请参阅 capability.h。
注意:Linux capability 常量的形式是 CAP_XXX。
但是 ， 当您在容器清单中列出功能时，必须忽略常量的 CAP_ 部分 。
例如 ， 要添加 CAP_SYS_TIME ，请在功能列表中包含 SYS_TIME。
这里我们介绍进程状态中与 Capabilities 相关的几个值:
借用上述例子中未配置 CAP 的进程能力位图
对比发现，容器运行时内的 root 用户并非拥有全部权限 ， 仅仅是默认拥有 14 条权限，其他权限如果使用需要额外开启 。
显然当镜像指定 USER 为非特权用户运行时，CAP 配置并不生效
Linux Capabilities 简介
Linux Capabilities: Why They Exist and How They Work
linux命令cap的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于linux命令大全、linux命令cap的信息别忘了在本站进行查找喔 。

• 如何使用cmd命令行提示符登录mysql服务器 cmd中登陆mysql
• redis缓存 redis缓冲常用命令
• mysql中删除记录的命令 mysql删除中继日志
• redis linux安装包 linux下redis包
• redis map底层实现 redis多个map命令
• mysql 授权命令 mysql限制授权
• mongodb常用命令 mongodb句柄数
• redis命令查看版本 怎样查看redis版本
• 查看redis所有数据 redis查看数据的命令
• redis重新加载配置 redis重新命令