保护 Docker 免受 Jenkins 用户的侵害

保护 Docker 免受 Jenkins 用户的侵害

我需要让低级别用户访问各种 Jenkins 作业,并且我想在我的主机上将 Jenkins 作为 Docker 容器运行。

我理解如果用户(通过 sudo 或其他方式)可以访问 Docker 守护程序,那么由于 Docker 的功能(挂载根文件系统等),我实际上放弃了主机上的超级用户访问权限。

保护我的 Docker 守护进程免受 Jenkins 攻击的最佳方法是什么?作业需要能够启动容器等。

Docker 1.10 解决了这个问题吗?

答案1

文献表明:

从 Docker 1.10 开始,docker 守护进程直接支持用户命名空间。此功能允许将容器中的 root 用户映射到容器外部的非 uid-0 用户,这有助于降低容器中断的风险。此功能可用但默认情况下不启用。

请参阅守护进程命令有关此功能的更多信息,请参阅命令行参考。有关 Docker 中用户命名空间实现的其他信息,请参阅这篇博文

相关内容