我刚开始一份新工作,直接与运营我们服务器群的人发生了问题(公司很大)。我习惯使用 docker,并希望在我设计的产品中继续使用 docker。
作为一项要求,我告诉他们我需要以 root 用户身份运行 Docker 守护进程。服务器人员只是告诉我,如果我们以 root 用户身份运行第三方软件,他们将不支持我们的机器。对此没有争论。就这样。
但是,他们告诉我,如果我们可以使用 sudo 并将 sudo 权限限制为所需的绝对最小值,这将是一个解决方案。
是否知道我可以如何处理该问题或规避那个教条的“我需要根”规则?
答案1
不。
Docker 守护进程需要以 root 身份运行。一旦某个软件以 root 身份运行,它就拥有所有 root 权限。类似的东西仍然赋予 Docker 所有这些权限。这也是大多数人限制运行交互式 shell 或可以运行任意外部命令的软件的sudo dockerdaemon原因。root 访问就是 root 访问。sudovim