入门操作测试2

能力机制（Capability）是 Linux 内核一个强大的特性，可以提供细粒度的权限访问控制。

测试2：

以entrypoint指定命令运行busybox容器：

sudo docker run --name bbox2 --rm -it --entrypoint /bin/sh busybox

这里添加的--rm 参数，是实现退出这个容器后马上把它删除

默认情况下，容器被严格限制只允许使用内核的一部分能力，根据实际情况，可以使用参数--cap-add和 --cap-drop来控制容器的能力。例如：

sudo docker run --name bbox2 --rm -it --cap-add NET_ADMIN --cap-drop CHOWN --entrypoint /bin/sh busybox

更多用于docker的capability key如下表：（来自https://docs.docker.com/engine/reference/run/）

更多关于Linux Capability的知识点，可以访问这个网页：

http://man7.org/linux/man-pages/man7/capabilities.7.html