在简化版本中: 我们的共享服务器系统上有两个用户:
user_1 (me)
user_2
Docker已在整个系统范围内跨用户安装。
我user_1使用运行过程的标准docker run创建了一个Docker容器。但是user_2可以访问此容器,因此他/她不仅可以查看,还可以停止并删除我的容器。
如何防止user_2或其他用户访问此容器。
注意:没有用户可以通过sudo进行root访问。。谢谢!
答案 0 :(得分:1)
注意:没有用户可以通过sudo进行root访问
如果用户有权访问Docker套接字,则他们都可以在主机上具有root用户访问权限。此时,您已经失去了所有安全性。如果您不相信这一点,请查看您在/ host中拥有的访问权限:
docker run --privileged --net=host --pid=host -v /:/host debian /bin/bash
有些项目使用authz插件来限制对docker套接字的访问,包括扭锁和开放策略代理。这些需要大量的设置,包括撤消从文件系统对套接字的访问,以及使用tls密钥访问经过加密和身份验证的端口。您也可以选择商业路线,并将Docker EE与UCP一起使用来管理用户及其访问权限。