向组docker添加一个用户,这样的用户可以通过-v挂载目录来访问容器中未经授权的目录
在我的centos系统中,我向组docker添加了一个用户,我发现这样的用户可以通过向组docker添加一个用户,这样的用户可以通过-v挂载目录来访问容器中未经授权的目录,docker,docker-container,Docker,Docker Container,在我的centos系统中,我向组docker添加了一个用户,我发现这样的用户可以通过docker run-it-v path to directory:directory In container将文件夹附加到容器来访问任何文件夹。例如,我有一个模式为700的文件夹,只能通过root用户访问,但如果没有权限访问此文件夹的人运行一个容器并将此文件夹装载到容器中,他可以访问容器中的此文件夹。如何防止此类用户将未经授权的目录附加到docker容器?我的docker版本是17.03.0-ce,syste
docker run-it-v path to directory:directory In containerchmod 777 /path/to/directory
您应该参考并遵循容器原则进行安全或外部卷权限设置。但您只想测试容器特性。 您可以设置目录访问模式777的路径,是的,它是世界可读写访问模式。对于任何容器卷映射,都没有额外的所有者组设置和访问模式设置
chmod 777 /path/to/directory
Docker守护进程以root用户身份运行,通常以root用户身份启动容器,其中的用户一对一映射到主机用户,因此
Docker另外,我认为它与
--特权的容器不兼容,但当然,这些容器也通过其他方式为您提供完全的根访问权限。Docker守护进程以根用户身份运行,通常以根用户身份启动容器,其中的用户一对一映射到主机用户,因此Docker
组中的任何人都具有有效的权限根权限
有一个选项可以告诉docker通过特定用户的子用户运行容器,请参见[。这会阻止完全根用户访问,但是每个访问docker守护程序的人都将在该用户下运行容器,如果该用户不是他们,他们将无法在家中有效地装载东西
此外,我认为它与--特权的容器不兼容,但当然,这些容器也通过其他方式为您提供了完全的root访问权限。可能是您误解了我的问题。如果我有一个仅允许root访问的模式为700的目录。但是docker组中的任何用户都可以通过mount th访问容器中的此文件夹是-v文件夹。我想防止未经授权访问此文件夹。@linjpthu我想为我的错误回答向您道歉。可能是您误解了我的问题。如果我有一个仅允许root访问的模式为700的目录。但是docker组中的任何用户都可以通过-v挂载此文件夹来访问容器中的此文件夹。我想防止t禁止未经授权访问此文件夹。@linjpthu我想为我的错误回答向您道歉。Docker绕过默认linux权限。这在他们的文档中有提到。请尝试在Docker中设置用户角色以限制他。按照此文档链接,Docker绕过默认linux权限。这在他们的文档中有提到打开。尝试在docker中设置用户角色以限制他。请遵循此文档链接