我想在非特权容器中将AllowPrivilegeEscalation 设置为 false,但使用 CAP_SYS_ADMIN 功能运行。根据文档“当容器满足以下条件时,AllowPrivilegeEscalation 始终为 true:1) 作为特权运行或 2) 具有 CAP_SYS_ADMIN。” 。在这种情况下它将被设置为 true 或 false ?
正如您在文档中找到的那样:
:控制进程是否可以获得更多 比其父进程有特权。这个bool直接控制 容器进程上是否设置了AllowPrivilegeEscalation
标志。 当容器满足以下条件时,no_new_privs
始终为 true:1) 作为特权运行或 2) 具有AllowPrivilegeEscalation
。CAP_SYS_ADMIN
在您的情况下,容器具有
CAP_SYS_ADMIN
,因此它将 AllowPrivilegeEscalation
设置为 true
。
此行为在 AllowPrivilegeEscalation 设计文档中也有更详细的解释。