如何限制 docker 組用戶附加由另一個組用戶啟動的正在運行的 docker 容器的能力?
[英]How to restrict docker group users ability to attach running docker containers which were started by another group user?
問題描述
我在 docker 組中有一些用戶(A,B,...),基本上,每個用戶都可以從圖像啟動一個容器,但是當用戶 A 在后台啟動一個容器(帶有 -d 標志)時會出現問題。 此時,用戶 B 可以附加此容器。 限制用戶只能附加他們啟動的容器的最佳解決方案是什么?
我在一些 root 訪問、命名空間等之間混淆了,我不知道 Docker。
3 個解決方案
解決方案1
1 2019-05-01 12:15:29
我想說“為每個用戶創建新組”,但隨后您必須使用Docker權限配置每個組,這將使您回到原來的位置。 做一些研究,小組也不可能成為小組的一部分。 https://unix.stackexchange.com/questions/47645/group-within-group-file-permissions
我不相信有一種可管理的方式來完成您想要做的事情,只是將每個用戶放到自己的機器/實例/虛擬機中。
如果您知道這一點,我將對了解解決方案感興趣。 祝你好運。
解決方案2
1 2019-05-01 12:18:36
可以運行任何Docker命令的任何人都可以對主機進行無限制的root訪問。
Docker沒有內置的方式來限制您所建議的訪問方式。 任何人都可以將docker attach到其他人的容器上; 任何人都可以docker stop; docker rm docker stop; docker rm他們; 任何人都可以docker run看似相同的容器,但具有不同的卷掛載; 任何人都可以docker run -v/:/host ...並以root身份對主機文件系統進行任意更改。
您應該重新考慮是否可以在這樣的多用戶系統上使用Docker。 將某人添加到docker組等效於為他們提供不受限制的sudo訪問(這是一個微不足道的docker run命令,如果他們還沒有的話,可以將其交給自己)。
解決方案3
0 2021-07-02 03:48:30
docker 權限是個麻煩事。 任何docker用戶都有root權限,太瘋狂了!
沒有出路? 也許使用一種不太危險的方式(好吧,仍然是一種危險的方式):
- 只將管理員放在 docker 組中
- 在容器中設置 ssh,並獲取 IP 地址
- 其他用戶通過ssh訪問容器
因此,容器中的損壞可能是有限的,並且您的主機系統似乎更安全。
停止docker容器后,無法啟動先前運行的容器
[英]After stopping docker containers , previously running containers cannot be started
如何添加Vxlan標簽以隔離不同組的Docker容器
[英]How to add Vxlan Tag to isolation different group of Docker Containers
如何知道哪些 systemd 服務正在運行 docker 容器
[英]How to know which systemd services are running the docker containers
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.