限制用户仅访问“docker inspect”?

限制用户仅访问“docker inspect”?

有没有办法让用户(确切地说是 www-data)仅访问“docker inspect”?任何可行的解决方案都可以接受

答案1

您可以使用 sudoers(用于编辑的 visudo 命令)定义它:

www-data ALL=(ALL:ALL) NOPASSWD:/usr/bin/docker inspect *

www-data 用户将能够使用参数 inspect 和此命令的其他参数访问 /usr/bin/docker 二进制文件。此命令不需要密码。如果您不希望此行为远程“NOPASSWD:”。

例如:

User can successfully run sudo docker inspect {{container_name}}
User can successfully run sudo docker inspect --help
User can't successfully run sudo docker run {{container}}
User can't successfully run sudo docker inspect without arguments

答案2

Docker 没有任何访问权限的粒度,但你可以很容易地编写一个替代的客户端,使用Docker 接口仅实现您需要的部分。

然后可以将该客户端设置为具有 Docker 套接字权限的用户。

相关内容