在docker开发列表上,有人询问有没有描述如何将用户添加到docker用户组的Fedora说明文档。该用户想要允许其用户可以执行docker search(在docker中搜索一番),设法找到用户可以使用的映像。 下面内容来自关于Fedora的Docker安装说明文档(http://docs.docker.com/installation/fedora/): 为用户授予使用Docker的权限 Fedora 19和20随带Docker 0.11。该软件包在Fedora 20中已经被更新到了1.0版本。如果你眼下仍使用使用0.11版本,就需要将权限授予Docker用户。 docker命令行工具通过用户组docker拥有的套接字文件/var/run/docker.sock,联系docker守护进程。某个用户必须是该用户组的成员,才能联系docker -d进程。 幸好,该说明文档有点错误,你仍需要将用户添加到docker用户组,才能让这些用户通过非root帐户使用docker。但愿所有发行版都有这条政策。 在Fedora和RHEL上,我们对docker.sock拥有下列权限: # ls -l /run/docker.sock srw-rw----. 1 root docker 0 Sep 19 12:54 /run/docker.sock 这意味着,只有root用户或docker用户组中的用户才能与该套接字进行对话。另外由于docker运行asdocker_t,SELinux防止所有被限制的域连接到该docker.sock。 docker没有授权控制机制 docker目前没有任何的授权控制机制。如果你能与docker套接字进行对话,或者docker侦听某个网络端口,你能与之对话,就可以执行所有的docker命令。 比如说,如果我在自己的电脑上将“dwalsh”添加到docker用户组,就可以执行: > docker run -ti --rm --privileged --net=host -v /:/host fedora /bin/sh # chroot /host 这时,你或者拥有这些权限的任何用户都完全控制你的系统。 将用户添加到docker用户组应该被认为与将USERNAME ALL=(ALL) NOPASSWD: ALL添加到/etc/sudoers文件一样。用户在其电脑上运行的任何应用程序都可以成为root,甚至在用户不知情的情况下。我认为,一种更安全的解决办法就是编写脚本,允许你想允许访问的用户有权访问。 cat /usr/bin/dockersearch #!/bin/sh docker search $@ 然后使用下面这个命令创建sudo: USERNAME ALL=(ALL) NOPASSWD: /usr/bin/dockersearch 我希望最终将某一种授权数据库添加到docker,以便管理员们可以配置你允许用户执行哪些命令、允许用户开启/停止哪些容器。 正确的第一步将是,先消除执行docker run --privileged或docker run --cap-remove的功能。但是,如果你之前读过我写的其他文章,就知道为了确保容器安全,还需要做好多的事情。 英文:https://opensource.com/business/14/10/docker-user-rights-fedora (责任编辑:IT) |