kubernetes 安全加固capabilities类

         securityContext:
          capabilities:
            drop:
            - CHOWN                #修改文件所有者的权限             
            - DAC_OVERRIDE         #忽略文件的DAC访问限制
            - SYS_ADMIN            #允许执行系统管理任务，如加载或卸载文件系统、设置磁盘配额等
            - DAC_READ_SEARCH      #忽略文件读及目录搜索的DAC访问限制             
            - FOWNER               #忽略文件属主ID必须和进程用户ID相匹配的限制
            - FSETID               #允许设置文件的setuid位
            - IPC_OWNER            #忽略IPC所有权检查
            - MAC_ADMIN            #允许 MAC 配置或状态更改
            - MAC_OVERRIDE         #忽略文件的 DAC 访问限制
            - NET_ADMIN            #允许执行网络管理任务
            - SETFCAP              #允许为文件设置任意的capabilities
            - SYS_MODULE           #允许插入和删除内核模块
            - SYS_PTRACE           #允许跟踪任何进程
          runAsUser: 1000