Почему Docker нуждается в привилегиях root?

Я изучаю Докер, и мне это очень нравится.

Однако я не понимаю, почему докеры нуждаются в привилегиях root для создания контейнеров, чтения журналов и т. Д.

Я прочитал несколько статей, подобных этому

https://docs.docker.com/articles/security/

но все, что я вижу, «докеры нуждаются в привилегиях root, потому что они могут иметь доступ к корневым папкам». Что ж, я бы не пропустил докеры как не-root и предоставил им доступ только к пользовательским папкам, не принадлежащим root, во внешней системе.

Почему это проблема?

2 Solutions collect form web for “Почему Docker нуждается в привилегиях root?”

Некоторые «классные» функции docker.io такие как привязка портов, монтирование файловых систем и т. Д., docker.io , чтобы демон docker.io запускался с привилегиями суперпользователя.

Тем не менее, вы можете использовать инструмент командной строки docker без привилегий root, если демон docker.io прослушивает сетевой порт или его сокет unix доступен для пользователя для чтения и записи.

Это БОЛЬШОЕ нарушение безопасности и обычно не должно использоваться.

Дополнительные сведения о безопасности Docker: https://docs.docker.com/articles/security/

Согласно этим ссылкам

у докеров не было сетей, если бы у них не было привилегий root, если я правильно их понимаю.

Я не уверен, что все.

  • Докерные хосты не разговаривают друг с другом
  • Как запустить программу внутри контейнера Docker?
  • Docker - ПРЕДУПРЕЖДЕНИЕ: отсутствие поддержки ограничения подкачки
  • X не запускается, потому что /tmp/.X11-unix/X0 - это каталог
  • Как войти в файловую систему на контейнере докера после сбоя компьютера?
  • Могу ли я создать контейнер Docker из Dockerfile интерактивным способом с выделением некоторого псевдо TTY?
  • Как разбирать строку для номера порта в ksh
  • Журнал Systemd преследует сообщения докеров
  • Возможно ли запустить 10,04 или 12,04 или более ранние LTS в контейнерах под LXC или Docker on Trusty?
  • Dockerfile: ADD, где <src> - это URL-адрес, создает каталог вместо загруженного файла
  • Отфильтровывать и убивать не-докерные процессы
  • Linux и Unix - лучшая ОС в мире.