【发布时间】:2021-09-19 08:20:46
【问题描述】:
我们需要在没有 sudo 用户或不将用户添加到 docker 组的情况下运行 docker 命令。
我尝试在无根 docker 上进行探索,但它没有安装在我们的 centos 7 机器上。
参考:https://docs.docker.com/engine/security/rootless/
我们正在为所有其他用户使用 NIS,因此,我们想做一些事情,因为我们拥有的所有开发人员都可以使用 docker,而无需实际向他们提供 sudo 访问权限。
另外,我们不想将这么多用户添加到 docker 组中。
我们的机器配置:
# cat /etc/os-release
NAME="CentOS Linux"
VERSION="7 (Core)"
ID="centos"
ID_LIKE="rhel fedora"
VERSION_ID="7"
PRETTY_NAME="CentOS Linux 7 (Core)"
ANSI_COLOR="0;31"
CPE_NAME="cpe:/o:centos:centos:7"
HOME_URL="https://www.centos.org/"
BUG_REPORT_URL="https://bugs.centos.org/"
CENTOS_MANTISBT_PROJECT="CentOS-7"
CENTOS_MANTISBT_PROJECT_VERSION="7"
REDHAT_SUPPORT_PRODUCT="centos"
REDHAT_SUPPORT_PRODUCT_VERSION="7"
【问题讨论】:
-
当用户可以启动 docker 容器时,他们几乎拥有主机上的 root 访问权限。 docs.docker.com/engine/security/#docker-daemon-attack-surface
-
哦!但实际上我们已经将所有东西都容器化了,这对于我们组织中的开发人员使用 Docker 命令是非常必要的。 :(