在docker-dev列表上,有人问是否有Fedora文档描述如何将用户添加到docker用户组。该用户希望允许他们的用户进行docker搜索(在docker中搜索)并尝试找到用户可以使用的图像。以下内容来自Fedora的Docker安装文档(http://docs.docker.com/installation/fedora/):授予用户使用Docker的权限Fedora19和20随Docker0.11一起提供。这个包在Fedora20已经更新到1.0版本。如果你还在使用0.11版本,你需要给Docker用户授权。docker命令行工具通过用户组docker拥有的套接字文件/var/run/docker.sock与dockerdaemon联系。用户必须是此用户组的成员才能联系docker-d进程。幸运的是,文档有点错误,您仍然需要将用户添加到docker用户组,以便这些用户使用非root帐户使用docker。希望所有发行版都有此政策。在Fedora和RHEL上,我们对docker.sock具有以下权限:#ls-l/run/docker.socksrw-rw----。1rootdocker0Sep1912:54/run/docker.sock这意味着,只有root或docker组中的用户可以与该套接字通信。此外,由于docker运行为docker_t,SELinux会阻止所有受限域连接到docker.sock。docker没有授权控制机制docker目前没有任何授权控制机制。如果你可以与dockersocket对话,或者docker监听某个网络端口,你可以与它对话,并且你可以执行所有docker命令。比如我把“dwalsh”添加到我电脑的docker用户组,我可以执行:>dockerrun-ti--rm--privileged--net=host-v/:/hostfedora/bin/sh#chroot/host此时,您或具有这些权限的任何用户都可以完全控制您的系统。将用户添加到docker用户组应被视为与将USERNAMEALL=(ALL)NOPASSWD:ALL添加到/etc/sudoers文件相同。用户在其计算机上运行的任何应用程序都可以成为root,甚至在用户不知情的情况下。我认为,更安全的解决方案是编写允许访问您希望允许访问的用户的脚本。cat/usr/bin/dockersearch#!/bin/shdockersearch$@然后使用这个命令来创建sudo:USERNAMEALL=(ALL)NOPASSWD:/usr/bin/dockersearch我希望最终能给docker添加某种授权数据库,以便管理员可以配置您允许用户执行哪些命令,以及您允许用户启动/停止哪些容器。正确的第一步是首先删除执行dockerrun--privileged或dockerrun--cap-remove的能力。但是,如果您之前阅读过我的其他文章,就会知道要确保容器安全,还需要做很多工作。英语:https://opensource.com/business/14/10/docker-user-rights-fedora
