fedora docker

在docker-dev列表上，有人询问了Fedora文档，该文档描述了如何将用户添加到docker组。 用户希望允许其用户进行docker search以尝试查找他们可以使用的图像。

从有关Fedora的Docker安装文档中 ：

授予用户使用Docker的权利

Fedora 19和20随Docker 0.11一起提供。 该软件包已在Fedora 20中更新为1.0。如果仍在使用0.11版本，则需要向Docker用户授予权限。

该docker的命令行工具接触docker通过一个套接字文件守护进程/var/run/docker.sock由集团拥有docker 。 必须是该组的成员才能联系docker -d进程。

幸运的是，该文档有些错误，您仍然需要将用户添加到docker组中，以使他们能够通过非root用户帐户使用docker 。 我希望所有发行版本都有此政策。

在Fedora和RHEL上，我们对docker.sock具有以下权限：

# ls -l /run/docker.sock
srw-rw----. 1 root docker 0 Sep 19 12:54
/run/docker.sock


这意味着只有root用户或docker组中的用户才能与该套接字通信。 另外，由于docker作为运行docker_t ，SELinux的防止所有限制结构域连接到此docker.sock 。

没有来自Docker的授权控制

Docker当前没有任何授权控制。 如果您可以与docker套接字对话，或者如果docker正在侦听网络端口并且可以与之对话，则可以执行所有docker命令。

例如，如果我添加“dwalsh”到docker组我的机器上，我可以执行。

> docker run -ti --rm --privileged --net=host -v /:/host fedora /bin/sh
# chroot /host


此时，您或拥有这些权限的任何用户都将完全控制您的系统。

将用户添加到docker组应视为与添加用户相同：

USERNAME ALL=(ALL) NOPASSWD: ALL


到/ etc / sudoers文件。 用户在其计算机上运行的任何应用程序都可以成为root用户，即使他不知道。 我认为更好的安全解决方案是编写脚本以允许用户访问您要允许的访问。

cat /usr/bin/dockersearch
#!/bin/sh
docker search $@

然后使用以下命令设置sudo：

USERNAME ALL=(ALL) NOPASSWD: /usr/bin/dockersearch

我希望最终向docker添加某种授权数据库，以允许管理员配置允许用户执行的命令以及可以允许他们启动/停止的容器。

首先消除执行docker run --privileged或docker run --privileged docker run --cap-remove将是朝正确方向迈出的一步。 但是，如果您阅读了我的其他文章，则知道需要做很多工作来使容器包含 。

最初在www.projectatomic.io上发布为“ 授予用户在Fedora中使用Docker的权利 ”。 在知识共享下重新发布。

翻译自: https://opensource.com/business/14/10/docker-user-rights-fedora

fedora docker