禁止在pod中使用passwd命令

于 2025-08-22 17:30:38 发布
阅读量55 收藏
点赞数 1
CC 4.0 BY-SA版权
文章标签: 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woloqun/article/details/108705272 
服务器上创建文件/etc/apparmor.d/deny-passwd

profile deny-passwd flags=(attach_disconnected) {
  # 默认允许文件读写和一般命令执行
  file,

  # 阻止执行 passwd
  deny /usr/bin/passwd x,
}

启用

sudo apparmor_parser -r /etc/apparmor.d/deny-passwd

查看是否生效

root@gpu03:/home/xb/k8s/yamls#  aa-status | grep deny-passwd
   deny-passwd
   /usr/bin/bash (176457) deny-passwd
   /usr/sbin/sshd (176530) deny-passwd
   /usr/bin/python3.12 (176531) deny-passwd

创建pod

apiVersion: apps/v1
kind: Deployment
metadata:
  name: gpua
  labels:
    app: gpu
spec:
  replicas: 1
  selector:
    matchLabels:
      app: gpu
  template:
    metadata:
      labels:
        app: gpu
    spec:
      containers:
      - name: gpu
        image: compute.aaa.tech:5000/pytorch:25.01-py3-sshd
        env:
        - name: ROOT_PASSWORD
          value: "123456abcd"
        - name: JUPYTER_ENABLE_LAB
          value: "yes"
        resources:
          limits:
            nvidia.com/gpu: 1
        securityContext:
          appArmorProfile:
            type: Localhost
            localhostProfile: deny-passwd

容器内验证是否生效

root@gpua-7c8598785b-b4n6m:/workspace# passwd root
bash: /usr/bin/passwd: Permission denied

核心配置

appArmorProfile:
  type: Localhost
  localhostProfile: deny-passwd

woloqun
关注
容器运行时安全:如何限制容器内的root权限
操作系统内核探秘的博客
07-13 316
本文聚焦容器运行时(如Docker引擎、containerd)的安全核心问题——容器内root权限的失控风险。容器root权限的潜在威胁限制root权限的5种核心技术手段Docker/Kubernetes环境下的实战操作常见误区与解决方案本文从“生活化场景”切入,先解释容器root权限的本质,再拆解限制权限的技术原理,最后通过实战案例演示具体操作。核心概念:用“小区管理”类比容器权限风险分析:root权限为何是“双刃剑”?技术方案:5种限制root权限的方法(附代码)
pod进阶
2303_79207100的博客
01-05 954
Always无论状态码如何,均会重启。基于deployment的yaml文件只能是Always,pod的yaml三种模式均可OnFailure状态码非0才会重启,正常退出不重启Never无论状态码如何,均不重启注:这三个状态对应的是容器的状态,容器退出了,pod才会重启。pod有一个或多个容器,只要有一个容器退出,整个pod都会重启neverdocker的默认策略(常用)on-failure非正常退出才会重启容器(特殊情况下使用)always只要容器退出,都会重启(常用)
pod进阶:
m0_71178834的博客
09-02 937
1、Running 运行中,pod已经分配到节点上,且pod内的容器正常运行。正常状态(ready 1/1)2、complete 完成之后退出,容器内的返回码是0 echo $?表示容器是正常的运行结束3、pending 挂起状态,pod已经创建好了,但是没有被分配到节点上。4、Failed 失败:容器内的返回码是非0状态退出,进入失败状态logs-f 可以查看pod的日志 describe pod 查看pod的详细情况,也可以查询到错误原因5、Terminating 终止中 pod正在删除中。
linux禁止root用户su,Linux 禁止普通用户su到root
weixin_32066337的博客
05-08 1047
Linux账户权限管理上为了防止普通用户通过su切换到root用户,需要修改/etc/pam.d/su和/etc/login.defs两个配置文件。Step1:修改 /etc/pam.d/su文件[root@ess ~]# vi /etc/pam.d/su#%PAM-1.0auth sufficient pam_rootok.so# Uncomment the fo...
k8s之pod的基础(下)
qq_71147683的博客
01-04 1046
Always deployment的yaml文件只能是Always pod的yaml三种模式都可以,不论正常退出还是非正常退出都重启OnDailure: 只有状态码非0才会重启。正常退出是不重启的Never 正常退出和非正常退出都不重启容器的退出了,pod才会重启pod可以有多个容器,只要有一个容器退出,整个pod都会重启,pod内的所有容器都会重启。
第十二章:设置pod容器权限-保障集群内节点和⽹络安全
weixin_54279427的博客
08-04 1061
PodSecuri​tyPol​icy是⼀种集群级别(⽆命名空间)的资源,它定义了⽤户能否在pod中使⽤各种安全相关的特性。维护PodSecuri​tyPol​icy资源中配置策略的⼯作由集成在API服务器中的PodSecuri​tyPol​icy准⼊控制插件完成​。需查看是否开启了PodSecurityPolicy准入插件。当有⼈向API服务器发送pod资源时,PodSecuri​tyPol​icy准⼊控制插件会将这个pod与已经配置的PodSecuri​tyPol​icy进⾏校验。
pod的状态、资源限制、探针、容器钩子
Hai990218的博客
09-03 942
yaml文件启动钩子和退出钩子和节点挂载: /usr/shar/nginx/html/ 节点的: /opt/nodeexec 执行 要能再目录中看到开始和打印的结果包含探针:1、启动探针:方法: exec 检测 /usr/shar/nginx/html/ index.html分件是否存在2、存活探针方法: httpGet访问验证返回码是否正确3、就绪探针:tcpSocket:监听容器的80端口是否正常。
Docker客户端命令
dailittledragon的博客
04-03 2242
Docker客户端命令大全
linux 操作系统笔记基础命令
热门推荐
心有鸿鹄天地,不敢妄坠人间
05-29 4万+
文章目录linux 基础命令cd 命令详解ls 命令详解pwd 命令详解hostname命令详解clear命令详解who、whoami、w 命令which 命令cal 命令详解ldd 命令详解scp 命令详解ssh 命令linux 用户权限useradd 命令详解usermod 命令详解userdel 命令详解groupadd 命令详解groupdel 命令详解chmod 命令详解chown 命令详解文件管理相关touch命令详解mkdir命令详解rmdir 删除目录rm 命令详解cp命令详解mv 命令详解
linux运维工作常用命令
m0_71071763的博客
06-17 2340
linux常用命令
UOS Desktop/server v20 初始化配置及维护指导
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-06 3809
因现场OS与厂商应用不兼容,且鉴于信创国产化要求,替换目标系统选用:UOS Desktop 20,基于此,本文将记录下UOS(Uniontech OS)下系统初始化配置及VGPU NVIDIA-Linux先看驱动安装过程,用以指导相关同学参考借鉴!关联资源官网Uos开发者模式权限申请官方 Nvidia 显卡驱动常见问题信创国测目录。
k8s常用基础命令总结
Tony666688888的博客
07-25 2176
Kubernetes常用基础命令摘要: Pod管理:通过kubectl get pods查看Pod列表,describe pod查看详情,logs查看日志,exec进入容器,delete删除Pod。 配置操作:edit修改配置,apply/delete -f通过YAML文件管理Pod,label/annotate管理标签和注释。 实用工具:port-forward端口转发,cp文件传输,top监控资源,watch实时查看状态。 集群信息:cluster-info查看集群状态,api-resources列出A
基于Python实现的信息检索与文本挖掘综合搜索引擎系统-包含网络爬虫模块-网页内容解析与分词处理-索引构建与数据库存储-Web查询服务与结果展示-用于课程大作业与学术研究-技术栈.zip
08-22
jdk1.8基于Python实现的信息检索与文本挖掘综合搜索引擎系统_包含网络爬虫模块_网页内容解析与分词处理_索引构建与数据库存储_Web查询服务与结果展示_用于课程大作业与学术研究_技术栈.zip
一个基于python的文件同步小工具.zip
08-22
一个基于python的文件同步小工具.zip
python3-wxpython4-webview-4.0.7-13.el8.tar.gz
最新发布
08-22
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
基于python的多功能扫描器.zip
08-22
基于python的多功能扫描器.zip
基于python的第三方QQ登陆工具类.zip
08-22
基于python的第三方QQ登陆工具类.zip
中国地形图三
08-22
indexssy.html
今日校园自动化是一个基于Python的爬虫项目,主要实现今日校园签到、信息收集、查寝等循环表单的自动化任务.zip
08-22
今日校园自动化是一个基于Python的爬虫项目,主要实现今日校园签到、信息收集、查寝等循环表单的自动化任务.zip
我输入了设置的root密码,但是说permission denied
05-29
<think>好的,用户现在遇到了SSH连接RunPod时输入root密码后出现“permissiondenied”的问题。我需要帮他解决这个问题。首先,我得回顾之前的对话,用户之前问过关于SSH连不上的问题,我给出了检查基础配置、网络诊断、服务状态排查等步骤。现在用户的问题是输入root密码后权限被拒绝,这可能和之前的连接问题有关联,但具体原因可能不同。首先,用户提到输入root密码后出现permission denied,这说明SSH服务可能已经接受连接,但认证失败。可能的原因包括:密码错误、SSH配置禁止root登录、用户账户被锁定、或者权限设置问题。需要逐一排查这些可能性。 参考用户提供的引用内容,其中提到sudo命令的密码缓存机制和chgrp命令,但这些似乎和当前问题关联不大。不过用户可能有误解,需要确保回答不偏离实际需求。接下来,我需要按照步骤来解答:1.**确认账户有效性**:检查root账户是否被禁用。在RunPod中,有些实例可能默认禁用root登录,需要通过其他用户或WebTerminal进入系统修改配置。比如检查/etc/ssh/sshd_config中的PermitRootLogin是否设置为yes,并重启SSH服务。 2. **密码正确性验证**:用户可能输入了错误的密码。建议通过Web Terminal直接修改root密码,或者检查密码是否正确,注意大小写和特殊字符。 3. **密钥登录冲突**:如果实例配置为仅允许密钥认证,即使输入正确密码也会被拒绝。需要检查sshd_config中的PasswordAuthentication是否为yes,否则需要添加公钥到authorized_keys。 4. **文件权限检查**:SSH对文件权限敏感,如~/.ssh目录权限应为700,authorized_keys为600。如果权限不对,会导致拒绝连接。 5. **SELinux/AppArmor干扰**:有时安全模块会阻止登录,需要暂时禁用或调整策略。6.**日志分析**:查看/var/log/auth.log或journalctl -u sshd,寻找具体的错误信息,比如认证失败的原因。 另外,用户可能没有正确配置SSH服务,或者在实例创建时选择了错误的认证方式。比如RunPod可能默认使用密钥对,而用户尝试用密码登录,导致失败。需要确认实例的安全组设置是否允许密码登录,或者是否强制使用密钥。在回答中需要引导用户逐步检查这些方面,并给出具体的命令示例,比如如何修改sshd_config,如何重启服务,如何检查日志等。同时,引用之前的建议,比如检查网络连接和端口,但重点放在认证和权限问题上。 最后,生成相关问题,帮助用户深入解决可能遇到的其他问题,比如如何启用Web Terminal,如何配置密钥登录等。</think>### RunPod SSH密码登录权限拒绝解决方案 #### 1. 确认账户有效性 - **检查root登录权限**: ```bash grep "PermitRootLogin" /etc/ssh/sshd_config ``` 如果显示`PermitRootLogin no`,需通过Web Terminal修改为`yes`后执行: ```bash systemctl restart sshd # 修改后必须重启服务[^1] ``` #### 2. 密码正确性验证 - **强制修改密码**(通过Web Terminal): ```bash passwd root # 需输入两次新密码 ``` 注意密码复杂度要求:至少8字符,包含大小写字母和数字的组合 #### 3. 密钥登录冲突检查 - **验证认证模式**: ```bash grep "PasswordAuthentication" /etc/ssh/sshd_config ``` 若显示`PasswordAuthentication no`,说明强制使用密钥认证,此时需: ```bash ssh-copy-id -i ~/.ssh/id_rsa.pub root@pod_ip # 上传公钥 ``` #### 4. 文件权限深度检查 - **关键目录权限验证**: ```bash ls -ld /root /root/.ssh /root/.ssh/authorized_keys ``` 正确权限应为: ``` drwx------ 5 root root 4096 Jul 10 12:00 /root drwx------ 2 root root 4096 Jul 10 12:05 /root/.ssh -rw------- 1 root root 742 Jul 10 12:05 authorized_keys ``` #### 5. 安全模块排查 - **临时禁用SELinux**: ```bash setenforce 0 # 立即生效但重启后恢复 getenforce # 验证状态应为Permissive ``` #### 6. 日志分析技巧 - **实时监控认证日志**: ```bash tail -f /var/log/auth.log | grep "sshd.*root" ``` 典型错误模式: - `Failed password for root`:密码错误 - `User root not allowed`:账户被禁用 - `Authentication refused`:权限配置错误 #### 7. 加密算法兼容性 - **强制指定加密协议**(适用于旧版客户端): ```bash ssh -o KexAlgorithms=diffie-hellman-group14-sha256 root@pod_ip ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值