在启动容器时，一般都是通过 docker run 来启动容器，但在容器里有很多操作是不被允许的，即使使用的是root用户，这一点在刚开始接触容器时，经常会有疑惑。为什么已经是root了，但还是会报错呢？

问题现象

现有一个iptables环境的Dockerfile，创建镜像 iptables:v1

FROM centos:7.6.1810

RUN yum install -y iptables

启动容器

docker run -d --name iptables-test iptables:v1

进入容器测试

docker exec -it iptables-test /bin/bash
[root@master iptables-test]# id
uid=0(root) gid=0(root) 组=0(root)
[root@346430e4132e /]# iptables -L
iptables v1.4.21: can't initialize iptables table `filter': Permission denied (you must be root)

这里提示，权限不够，需要使用root用户。

但当我们使用以下启动容器时

[root@master home]# docker run --name iptables-test --privileged -it iptables:v1 bash
[root@29b21ccce0ac /]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 

这时发现可以正常使用iptables的操作了，和前面的操作唯一的差异在 --privileged

--privileged代表使用真正root权限的账号，默认情况下，Docker在启动容器时，它的权限是有限制的，即使是使用root，也是会被docker进行限制，而这个限制就是依赖于 linux capabilities。

linux capabilities

linux capabilities 是在 Linux 2.2 之后出现的，在这之前进程的权限可以分成两类：特权用户和非特权用户。

特权用户可以简单理解为 root ，可以执行系统的所有操作;非特权用户可以理解为 非root用户,会被linux 内核进行限制，如果普通用户需要使用到root的一些权限，则需要通过SUID的方式进行处理，但这会带一些安全问题。

在 linux 2.2 之后，将特权用户的权限更加细化，被划分成几个部分，每一个部分就是 capabilities。每一个进程在需要进行做一个特权操作时，它就需要有这个特权操作的授权。常用的特权如下表(具体列表请查看linux官网):

比如iptables 命令,需要 CAP_NET_ADMIN 这个capabilities，如给nginx赋予了 CAP_NET_BIND_SERVICE，则它就能以普通用户运行并监听在80端口上。

linux capabilities 分成进程 capabilities 和 文件 capabilities。对于进程来说，是细分到线程的，每个线程都有自己的capabilities，而对于文件来说，是保存在文件的扩展属性上的。

进程capabilities

进程 capabilities 有五集合,每个集合使用64位bit来表示，显示为16进制格式

文件capabilities

文件capabilities的 Effective会影响到线程capabilities，具体可以查看官网的介绍

通常使用非root用户启动的进程，默认是没有任何linux capabilities，而root用户的进程缺省是包含了所有的Linux capabilities.

通过capsh 这个工具，可以将root的权限进行降级，执行以下的脚本, 切换到root下执行

[root@master bin]# /usr/sbin/capsh --keep=1 --drop=cap_net_admin -- -c 'iptables -L'
/bin/bash: /usr/sbin/iptables: 不允许的操作

上面的例子，看到即使是root账号，如果将 cap_net_admin 特权拿掉，也是不能执行的。

修改下上面的脚本，看下进程的信息

[root@master bin]# /usr/sbin/capsh --keep=1 --drop=cap_net_admin -- -c 'iptables -L;sleep 100'
/bin/bash: /usr/sbin/iptables: 不允许的操作

这个进程id 是88507,查看 /proc/88507/status 文件,这里记录了当前进程相关的信息

这里的五个键值对就是上面表里的内容，主要查看CapEff 里的内容是0000001fffffefff, 使用以下capsh命令查看，发现是没有cap_net_admin这个权限的

[root@master 88507]# capsh --decode=0000001fffffefff
0x0000001fffffefff=cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_linux_immutable,cap_net_bind_service,cap_net_broadcast,cap_net_raw,cap_ipc_lock,cap_ipc_owner,cap_sys_module,cap_sys_rawio,cap_sys_chroot,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,cap_sys_nice,cap_sys_resource,cap_sys_time,cap_sys_tty_config,cap_mknod,cap_lease,cap_audit_write,cap_audit_control,cap_setfcap,cap_mac_override,cap_mac_admin,cap_syslog,35,36

docker 容器的权限

进入到容器里查看当前的权限,当前容器只会允许以下列表中的内容，也可以查看 init进程的 状态值

[root@e7de29a2481a /]# capsh --print
Current: = cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap+eip

所以，在容器里执行iptables是不允许的，因为没有 cap_net_admin这个权限，但不建议直接以 --privileged的方式，这样会使它的权限过大，也可能会访问宿主机上的系统文件。

可以通过以下方式单独增加 cap_net_admin 权限

docker run -d --name iptables-test --cap-add NET_ADMIN iptables:v1 sleep 3600

这样就可以处理好开头的问题了。