Dlaczego Docker potrzebuje uprawnień roota?

Uczę się Dockera i bardzo mi się podoba.

Nie rozumiem jednak, dlaczego doker potrzebuje uprawnień roota do tworzenia kontenerów, czytania dzienników i tak dalej.

Przeczytałem kilka artykułów takich jak ten

https://docs.docker.com/articles/security/

ale widzę tylko, że „doker potrzebuje uprawnień roota, ponieważ może mieć dostęp do folderów głównych”. Cóż, nie miałbym nic przeciwko uruchamianiu dokerów jako użytkowników innych niż root i dawanie im dostępu tylko do folderów użytkowników innych niż root w systemie zewnętrznym.

Dlaczego to jest problemem?

Niektóre „fajne” funkcje dokera, takie jak wiązanie portów, montowanie systemów plików itp. Ściśle wymagają uruchamiania docker.io demona z uprawnieniami superużytkownika.

Możesz jednak użyć docker narzędzia wiersza poleceń bez uprawnień roota, jeśli docker.iodemon nasłuchuje portu sieciowego lub jego gniazdo unix jest dostępne dla użytkownika do odczytu i zapisu.

Jest to WIELKIE naruszenie bezpieczeństwa i zwykle nie powinno się go używać.

Dodatkowe informacje na temat bezpieczeństwa Docker: https://docs.docker.com/articles/security/

Według tych linków

• https://github.com/docker/docker/issues/1034
• https://github.com/docker/docker/issues/2919
• http://s3hh.wordpress.com/2013/07/19/creating-and-using-containers-woutout-privilege/ (tylko nieznacznie powiązane)

dokery nie mogłyby mieć sieci, gdyby nie miały uprawnień do rootowania, jeśli dobrze to rozumiem.

Nie jestem pewien, czy to wszystko.