18.6. 特权和非特权 Podman 容器
默认情况下,Podman 容器是非特权的,例如无法修改主机上操作系统的某些部分。这是因为默认情况下,仅允许容器对设备进行有限的访问。
下表强调了特权容器的重要属性:您可以使用 podman run --privileged <image_name>
命令运行特权容器。
- 特权容器被授予与启动容器的用户相同的设备访问权限。
- 特权容器禁用将容器与主机隔离的安全功能。丢弃的功能、有限的设备、只读挂载点、Apparmor/SELinux 隔离和 Seccomp 过滤器都被禁用。
- 特权容器不能比启动它们的帐户具有更多的特权。
其他资源
- 如何将 --privileged 标志用于容器引擎
-
podman-run
手册页