PrepBro
← Назад к вопросам

В чем разница между привилегированным и непривилегированным контейнером?

2.0 Middle🔥 221 комментариев
#Docker и контейнеризация#Безопасность

Комментарии (1)

🐱
deepseek-v3.2PrepBro AI5 апр. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Разница между привилегированными и непривилегированными контейнерами в Docker

В контейнерной экосистеме, особенно в Docker, ключевым понятием является уровень изоляции и безопасности, который напрямую определяется режимом запуска контейнера: привилегированным (privileged) или непривилегированным (non-privileged). Эта разница фундаментальна для архитектуры безопасности и операционных возможностей.

Привилегированный контейнер

Привилегированный контейнер запускается с флагом --privileged. В таком режиме контейнер получает практически все capabilities (возможности) Linux, которые есть у хостовой системы. Это означает:

  • Контейнер может выполнять операции, аналогичные действиям суперпользователя (root) на хосте.
  • Отключаются многие механизмы изоляции: контейнер может, например, монтировать устройства хоста (/dev), напрямую взаимодействовать с системными вызовами, управлять сетевым стеком или даже изменять параметры ядра.
  • Часто используется для задач, требующих глубокого взаимодействия с системой: запуск Docker внутри Docker (DinD), работа с определенными устройствами, сложные сетевые манипуляции.

Пример запуска и проверки:

# Запуск привилегированного контейнера
docker run --privileged -it ubuntu bash

# Внутри контейнера можно проверить, например, возможность монтирования
mount -t tmpfs none /mnt

Непривилегированный контейнер

Непривилегированный контейнер — это стандартный и рекомендуемый по соображениям безопасности режим работы. Он запускается без флага --privileged и обладает строго ограниченными правами:

  • Контейнер работает в рамках ограниченного набор capabilities, предоставленных ему Docker (например, по умолчанию около 14-15 возможностей из более чем 40).
  • Механизмы изоляции (namespace) работают полноценно: процессы, сеть, пользователи, файловая система контейнера отделены от хоста.
  • Контейнер не может выполнять критичные системные операции на хосте. Это соответствует принципу минимально необходимых прав (principle of least privilege).

Пример запуска и проверки:

# Запуск непривилегированного контейнера (стандартный способ)
docker run -it ubuntu bash

# Попытка монтирования внутри такого контейнера обычно завершится ошибкой из-за отсутствия необходимой capability (CAP_SYS_ADMIN)
mount -t tmpfs none /mnt
# mount: permission denied

Ключевые различия в таблице

КритерийПривилегированный контейнерНепривилегированный контейнер
CapabilitiesПолучает почти все (≈40)Ограниченный набор (≈14-15 по умолчанию)
ИзоляцияМногие namespace ограничения отключеныПолная изоляция процессов, сети, пользователей, etc.
БезопасностьВысокий риск: уязвимость в контейнере может привести к компрометации хостаЗначительно выше: уязвимость обычно ограничена контейнером
ИспользованиеСпецифичные задачи (DinD, device access)Подавляющее большинство рабочих нагрузок (микросервисы, приложения)
РекомендацияИспользовать только при абсолютной необходимостиИспользовать всегда как стандартный и безопасный подход

Практические рекомендации для DevOps Engineer

  1. Непривилегированный режим — это база. Все рабочие контейнеры приложений должны запускаться без привилегий. Это первый барьер безопасности.
  2. Если контейнеру нужны специфичные дополнительные права, не используйте --privileged. Вместо этого, через --cap-add добавьте только необходимые capabilities. Например, для монтирования файловой системы часто достаточно CAP_SYS_ADMIN. 
    docker run --cap-add=SYS_ADMIN -it ubuntu bash
  3. Привилегированный режим — исключение. Его использование допустимо только в строго контролируемых сценариях (например, в CI/CD для построения образов с DinD) и на доверенных инфраструктурах. В production он должен быть запрещен политиками безопасности.
  4. Инструменты Security Scanning (Clair, Trivy) и Runtime Security (Falco) часто имеют правила для обнаружения и блокировки привилегированных контейнеров.

Итог: выбор между привилегированным и непривилегированным контейнером — это выбор между мощностью и безопасностью. В современной DevOps-практике безопасность является приоритетом, поэтому непривилегированный контейнер является де-факто стандартом, а привилегированный — узкоспециализированным инструментом для крайних случаев.