Dlaczego Docker potrzebuje uprawnień roota?

11

Uczę się Dockera i bardzo mi się podoba.

Nie rozumiem jednak, dlaczego doker potrzebuje uprawnień roota do tworzenia kontenerów, czytania dzienników i tak dalej.

Przeczytałem kilka artykułów takich jak ten

https://docs.docker.com/articles/security/

ale widzę tylko, że „doker potrzebuje uprawnień roota, ponieważ może mieć dostęp do folderów głównych”. Cóż, nie miałbym nic przeciwko uruchamianiu dokerów jako użytkowników innych niż root i dawanie im dostępu tylko do folderów użytkowników innych niż root w systemie zewnętrznym.

Dlaczego to jest problemem?

Karel Bílek
źródło

Odpowiedzi:

9

Niektóre „fajne” funkcje dokera, takie jak wiązanie portów, montowanie systemów plików itp. Ściśle wymagają uruchamiania docker.io demona z uprawnieniami superużytkownika.

Możesz jednak użyć docker narzędzia wiersza poleceń bez uprawnień roota, jeśli docker.iodemon nasłuchuje portu sieciowego lub jego gniazdo unix jest dostępne dla użytkownika do odczytu i zapisu.

Jest to WIELKIE naruszenie bezpieczeństwa i zwykle nie powinno się go używać.

Dodatkowe informacje na temat bezpieczeństwa Docker: https://docs.docker.com/articles/security/

Sergey P. aka lazur
źródło