值得信赖的码头工人

值得信赖的码头工人

是否可以设置 docker,以便不受信任的用户可以运行 docker 命令的子集,例如execstart/ stoprun.这样容器就可以被设置为进程服务器(例如编译服务器),并且用户可以在其上运行作业。

然而,他们无法创建新容器,无法写入主机系统文件(或读/写他们自己无法读/写的任何地方)。并且不要做任何可能伤害主人的事情。

答案1

我认为 podman 更适合您的用例。

答案2

这句话引自Debian 维基

Docker 组成员身份比 sudo 更危险

Docker 文档说:

首先,只有受信任的用户才有权控制您的 Docker 守护进程。

:

docker 组向用户授予 root 级别权限。

不要将不受信任的用户添加到 docker 组。相反,您可以允许无根模式,守护进程和容器不以根身份运行,而是在用户命名空间中运行。看以非 root 用户身份运行 Docker 守护进程(Rootless 模式)

相关内容