有没有办法让用户(确切地说是 www-data)仅访问“docker inspect”?任何可行的解决方案都可以接受
答案1
您可以使用 sudoers(用于编辑的 visudo 命令)定义它:
www-data ALL=(ALL:ALL) NOPASSWD:/usr/bin/docker inspect *
www-data 用户将能够使用参数 inspect 和此命令的其他参数访问 /usr/bin/docker 二进制文件。此命令不需要密码。如果您不希望此行为远程“NOPASSWD:”。
例如:
User can successfully run sudo docker inspect {{container_name}}
User can successfully run sudo docker inspect --help
User can't successfully run sudo docker run {{container}}
User can't successfully run sudo docker inspect without arguments
答案2
Docker 没有任何访问权限的粒度,但你可以很容易地编写一个替代的客户端,使用Docker 接口仅实现您需要的部分。
然后可以将该客户端设置为具有 Docker 套接字权限的用户。