本申請實施例涉及計算機處理技術領域，特別涉及一種容器運行方法、裝置、電子設備和存儲介質。其中，容器運行方法，包括：獲取容器運行所需的最小權限集；以非特權模式啟動容器，并將最小權限集作為參數傳遞給容器；啟動容器的原始進程，以最小權限集作為原始進程的權限集。本申請實施方式中，能夠回收容器的多余權限，保障系統資源的安全性。

技術領域

本申請實施例涉及計算機處理技術領域，特別涉及一種容器運行方法、裝置、電子設備和存儲介質。

背景技術

容器技術是指，有效的將單個操作系統的資源劃分到孤立的組中，以便更好的在孤立的組之間平衡有沖突的資源使用需求。也就是產生資源隔離，用于解決多操作系統/應用程序堆棧的問題。

而特權容器(特權模式的容器)幾乎擁有系統全部權限，可以直接修改主機運行參數，不受限制的使用系統內存、CPU資源，訪問、修改主機敏感數據，刪除主機關鍵文件。特權容器擁有對系統全局資源的訪問權限，也打破了容器技術的設計初衷：資源隔離，即容器只能訪問容器命名空間內的局部資源。因此，運行異常的特權容器將對系統安全構成重大威脅。

發明內容

本申請實施例的主要目的在于提出一種容器運行方法，回收特權容器的多余權限，保障系統資源的安全性。

為實現上述目的，本申請實施例提供了一種容器運行方法，包括：獲取容器運行所需的最小權限集；以非特權模式啟動容器，并將最小權限集作為參數傳遞給容器；啟動容器的原始進程，以最小權限集作為原始進程的權限集。

為實現上述目的，本申請實施例還提供一種容器運行系統，包括：獲取模塊，用于獲取容器運行所需的最小權限集；傳遞模塊，用于以非特權模式啟動容器，并將最小權限集作為參數傳遞給容器；啟動模塊，用于啟動容器的原始進程，以最小權限集作為原始進程的權限集。

為實現上述目的，本申請實施例還提供了一種電子設備，包括：至少一個處理器；以及，與所述至少一個處理器通信連接的存儲器；其中，所述存儲器存儲有可被所述至少一個處理器執行的指令，所述指令被所述至少一個處理器執行，以使所述至少一個處理器能夠執行上述的容器運行方法。

為實現上述目的，本申請實施例還提供了一種計算機可讀存儲介質，存儲有計算機程序，所述計算機程序被處理器執行時實現上述的容器運行方法。

本申請實施例中，提供了一種容器運行方法，對于特權容器，篩選出容器正常運行所需最小權限集，以非特權模式啟動容器，將所述最小權限集作為參數傳遞給容器，在啟動容器的原始進程后，容器僅具有最小權限集中的權限。從而刪除了非必須權限，將特權容器轉換為非特權容器，降低特權容器運行異常對系統安全的威脅。

附圖說明

圖1是根據本發明一個實施例中所提供的容器運行方法的流程圖；

圖2是根據本發明一個實施例中所提供的容器運行裝置的流程圖；

圖3是根據本發明一個實施例中提供的一種電子設備的結構示意圖。

具體實施方式

為使本申請實施例的目的、技術方案和優點更加清楚，下面將結合附圖對本申請的各實施例進行詳細的闡述。然而，本領域的普通技術人員可以理解，在本申請各實施例中，為了使讀者更好地理解本申請而提出了許多技術細節。但是，即使沒有這些技術細節和基于以下各實施例的種種變化和修改，也可以實現本申請所要求保護的技術方案。以下各個實施例的劃分是為了描述方便，不應對本申請的具體實現方式構成任何限定，各個實施例在不矛盾的前提下可以相互結合相互引用。

本發明的一個實施例涉及一種容器運行方法，具體流程如圖1所示，至少包括以下步驟：

步驟101，獲取容器運行所需的最小權限集；

步驟102，以非特權模式啟動容器，并將最小權限集作為參數傳遞給容器；