Docker守护程序以root身份运行。一旦我们将用户添加到Docker组中,他可以启动任何docker容器,甚至具有特权的容器。这似乎是一个严重的安全问题。
有没有办法限制某些Docker组中的用户不能运行特权容器?
2个回答
4
目前没有办法限制对特权容器的访问。例如,Fedora已经放弃了docker组(因为授予对docker的访问实际上就像授予无需密码的sudo访问权限一样)。
如果你想提供"docker作为服务",你可能希望在它之前添加类似Kubernetes这样的东西,它只提供对Docker API间接访问,并且可以配置允许或拒绝使用特权容器。
- larsks
2
编写Docker API的REST代理可能比安装Kubernetes更简单。 - Andy
1当然,如果编写REST代理比使用一些现成的软件更容易(这可能取决于部署者),我想知道是否已经有过滤REST代理可用... - larsks
-1
许多Docker用户通过更改Docker用户的“SecurityContext”域来强制执行和限制SElinux。
- Mike
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接