标签: linux security docker
据我了解,docker组的成员资格基本上等于root权限。我需要允许一个用户执行特定的容器,但我不希望他是root用户。
因为制作bash脚本setgid很成问题,所以我考虑编写简短的可执行文件,这将是docker组的setgid,它唯一能做的就是启动特定的docker容器。此特定可执行文件将为+ x并由另一个用户拥有。任何用户都可以启动它的副作用对我来说是可以接受的。
这会在docker组中带来任何安全性吗?或者打破它仍然是微不足道的?
我怀疑我是第一个想要这个的人,这通常是如何解决的?