Security 限制Docker组中的用户不运行特权容器
Docker守护进程以root用户身份运行。一旦我们将用户添加到Docker组,他就可以启动任何Docker容器,甚至是特权容器。这似乎是一个严重的安全问题Security 限制Docker组中的用户不运行特权容器,security,docker,Security,Docker,Docker守护进程以root用户身份运行。一旦我们将用户添加到Docker组,他就可以启动任何Docker容器,甚至是特权容器。这似乎是一个严重的安全问题 是否有办法限制Docker组中的某些用户不能运行特权容器?目前没有办法限制对特权容器的访问。例如,这就是为什么Fedora放弃了docker组(因为授予docker访问权限实际上就像授予无密码sudo访问权限一样) 如果你想提供“docker-as-a-service”,你可能想在它前面放一些类似的东西,它只提供对docker API的间接
是否有办法限制Docker组中的某些用户不能运行特权容器?目前没有办法限制对特权容器的访问。例如,这就是为什么Fedora放弃了
dockersudo如果你想提供“docker-as-a-service”,你可能想在它前面放一些类似的东西,它只提供对docker API的间接访问,并且可以配置为允许或拒绝使用特权容器。许多docker用户通过更改docker用户的域来强制和限制SElinux“SecurityContext”为Docker API编写REST代理可能比安装Kubernetes更简单。当然,如果编写REST代理比使用一些现成软件更容易(可能是这样,这取决于部署人员)。我想知道是否已经有一个过滤REST代理可用。。。