我们做了个 paas 平台,支持通过 web terminal(websocket)用 ssh 进去到 pod 中,但是用户进到容器后执行的操作我们是没法限制的,比如 rm 这种,现在想限制一下执行的指令,把危险操作过滤掉,大佬们有什么思路吗?
This topic created in 2159 days ago, the information mentioned may be changed or developed.
 |
1
linvaux Jun 23, 2020
alias rm="echo fu*k rm !!!"
|
 |
2
xiqingongzi Jun 23, 2020
先把过程捋一下,目前感觉环节不少,应该可以在其中的某一个环节过滤掉
|
 |
3
rbe Jun 24, 2020
bash -r ?
|
 |
4
binux Jun 24, 2020
pod 是谁的?如果是用户的你管他执行什么呢。
如果是你的,那你就为每个用户单独创建一个 pod,用完重建。 |
 |
5
ica10888 Jun 24, 2020 via Android
如果是 debug,可以试下 ephemeral container,启用命名空间进程共享,然后在这个容器的镜像里面做命令行的限制。不过这样也是防君子比防小人,毕竟 docker 是轻度隔离,总有方法绕过来的。
|
Select Language