[英]How to restrict docker group users ability to attach running docker containers which were started by another group user?
我在 docker 組中有一些用戶(A,B,...),基本上,每個用戶都可以從圖像啟動一個容器,但是當用戶 A 在后台啟動一個容器(帶有 -d 標志)時會出現問題。 此時,用戶 B 可以附加此容器。 限制用戶只能附加他們啟動的容器的最佳解決方案是什么?
我在一些 root 訪問、命名空間等之間混淆了,我不知道 Docker。
我想說“為每個用戶創建新組”,但隨后您必須使用Docker權限配置每個組,這將使您回到原來的位置。 做一些研究,小組也不可能成為小組的一部分。 https://unix.stackexchange.com/questions/47645/group-within-group-file-permissions
我不相信有一種可管理的方式來完成您想要做的事情,只是將每個用戶放到自己的機器/實例/虛擬機中。
如果您知道這一點,我將對了解解決方案感興趣。 祝你好運。
可以運行任何Docker命令的任何人都可以對主機進行無限制的root訪問。
Docker沒有內置的方式來限制您所建議的訪問方式。 任何人都可以將docker attach
到其他人的容器上; 任何人都可以docker stop; docker rm
docker stop; docker rm
他們; 任何人都可以docker run
看似相同的容器,但具有不同的卷掛載; 任何人都可以docker run -v/:/host ...
並以root身份對主機文件系統進行任意更改。
您應該重新考慮是否可以在這樣的多用戶系統上使用Docker。 將某人添加到docker
組等效於為他們提供不受限制的sudo
訪問(這是一個微不足道的docker run
命令,如果他們還沒有的話,可以將其交給自己)。
docker 權限是個麻煩事。 任何docker用戶都有root權限,太瘋狂了!
沒有出路? 也許使用一種不太危險的方式(好吧,仍然是一種危險的方式):
因此,容器中的損壞可能是有限的,並且您的主機系統似乎更安全。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.