是否可以设置 docker,以便不受信任的用户可以运行 docker 命令的子集,例如exec、start/ stop、run.这样容器就可以被设置为进程服务器(例如编译服务器),并且用户可以在其上运行作业。
然而,他们无法创建新容器,无法写入主机系统文件(或读/写他们自己无法读/写的任何地方)。并且不要做任何可能伤害主人的事情。
答案1
我认为 podman 更适合您的用例。
答案2
这句话引自Debian 维基。
Docker 组成员身份比 sudo 更危险
这Docker 文档说:
首先,只有受信任的用户才有权控制您的 Docker 守护进程。
和:
docker 组向用户授予 root 级别权限。
不要将不受信任的用户添加到 docker 组。相反,您可以允许无根模式,守护进程和容器不以根身份运行,而是在用户命名空间中运行。看以非 root 用户身份运行 Docker 守护进程(Rootless 模式)