Почему Docker нуждается в привилегиях root?

Я изучаю Докер, и мне это очень нравится.

Однако я не понимаю, почему докеры нуждаются в привилегиях root для создания контейнеров, чтения журналов и т. Д.

Я прочитал несколько статей, подобных этому

https://docs.docker.com/articles/security/

но все, что я вижу, «докеры нуждаются в привилегиях root, потому что они могут иметь доступ к корневым папкам». Что ж, я бы не пропустил докеры как не-root и предоставил им доступ только к пользовательским папкам, не принадлежащим root, во внешней системе.

Почему это проблема?

2 Solutions collect form web for “Почему Docker нуждается в привилегиях root?”

Некоторые «классные» функции docker.io такие как привязка портов, монтирование файловых систем и т. Д., docker.io , чтобы демон docker.io запускался с привилегиями суперпользователя.

Тем не менее, вы можете использовать инструмент командной строки docker без привилегий root, если демон docker.io прослушивает сетевой порт или его сокет unix доступен для пользователя для чтения и записи.

Это БОЛЬШОЕ нарушение безопасности и обычно не должно использоваться.

Дополнительные сведения о безопасности Docker: https://docs.docker.com/articles/security/

Согласно этим ссылкам

у докеров не было сетей, если бы у них не было привилегий root, если я правильно их понимаю.

Я не уверен, что все.

  • Параметры переустановки / докеры или изменения монтирования
  • Установите определенную версию Git в Docker image
  • Создание брандмауэра с установленным Docker
  • Не удалось найти файл после добавления в Docker
  • Не удается получить докер для пересылки портов
  • Как разбирать строку для номера порта в ksh
  • Docker - ПРЕДУПРЕЖДЕНИЕ: отсутствие поддержки ограничения подкачки
  • Есть ли способ сделать загрузочный Linux-диск USB с Linux-контейнера докеров?
  • Как настроить синхронизацию + диско-сервер на Docker?
  • Почему некоторые докеры используют докерную сеть вместо параметра ссылки?
  • Можно ли запускать скрипт при остановке контейнера докеров?
  • Linux и Unix - лучшая ОС в мире.