在不受信任的主机上运行的docker容器

时间:2018-02-01 13:20:53

标签: docker

我知道在主机上运行的docker容器具有root权限。

我想从网络应用中使用HTTP requests启动容器,但我不相信正在运行docker的主机。

是否可以将我的容器设为"black-box",这样我甚至可以阻止主机中的根访问它?

我想要的只是简单地运行它?

我可以使用其他替代方案代替docker来实现这一目标吗?

1 个答案:

答案 0 :(得分:2)

  

我知道在主机上运行的docker容器具有root权限。

这大多不正确。 docker容器只对容器可见的东西具有root访问权限;这是显式挂载到容器上的目录。

  

是否可以将我的容器设置为“黑盒子”,这样我甚至可以阻止主机中的root访问它?

没有。机器的root用户可以访问机器上的所有内容。无法阻止root用户访问容器。

  

我可以使用其他替代方案代替docker来实现这一目标吗?

您将在主机上以某种形式部署应用程序,这将导致可运行的进程。 root用户将始终可以访问和控制此过程。 因此,您采取的方式,无法阻止root用户访问应用程序进程。