Intereting Posts
Как масштабировать оконный менеджер i3 для моего дисплея HiDPI? Безопасная работа LAMP под конкретным пользователем Как добавить строку заголовка (внутри оболочки) к выходу любой команды Получить текущие версии приложений через apt-get Есть ли разница между жесткой привязкой к cp -l или ln? Ошибка аутентификации RPC при установке NFS Как создать собственное ядро ​​с localmodconfig, которое поддерживает аппаратное обеспечение нескольких машин? Несколько клавиатур одинаковой буквы запускают одно нажатие клавиши Могу ли я использовать `internal-sftp` при использовании сценария-оболочки с` ForceCommand` в sshd? Sed – заменить символ в соответствующей строке на месте? Запуск программы при запуске (Fedora 22/2015) Как лечить cp -r всегда как директорию? Как запустить программу из определенного окна просмотра (а не как его переместить) Как установить Antergos с GTX 970? Идентификатор файла, который не изменяется при переименовании

Почему Docker нуждается в привилегиях root?

Я изучаю Докер, и мне это очень нравится.

Однако я не понимаю, почему докеры нуждаются в привилегиях root для создания контейнеров, чтения журналов и т. Д.

Я прочитал несколько статей, подобных этому

https://docs.docker.com/articles/security/

но все, что я вижу, «докеры нуждаются в привилегиях root, потому что они могут иметь доступ к корневым папкам». Что ж, я бы не пропустил докеры как не-root и предоставил им доступ только к пользовательским папкам, не принадлежащим root, во внешней системе.

Почему это проблема?

Некоторые «классные» функции docker.io такие как привязка портов, монтирование файловых систем и т. Д., docker.io , чтобы демон docker.io запускался с привилегиями суперпользователя.

Тем не менее, вы можете использовать инструмент командной строки docker без привилегий root, если демон docker.io прослушивает сетевой порт или его сокет unix доступен для пользователя для чтения и записи.

Это БОЛЬШОЕ нарушение безопасности и обычно не должно использоваться.

Дополнительные сведения о безопасности Docker: https://docs.docker.com/articles/security/

Согласно этим ссылкам

у докеров не было сетей, если бы у них не было привилегий root, если я правильно их понимаю.

Я не уверен, что все.