在Docker-dev邮件列表,有人问有关描述了如何将用户添加到Docker组的Fedora文档。用户希望让他的用户做一个Docker搜索,试图找到他们可以使用的镜像。
授予用户权限的使用Docker
Fedora的19和20随Docker0.11。如果你还在使用0.11版本的包已经更新到1.0的Fedora20,您将需要授予权Docker的用户。
docker命令行工具,通过接触被一群Docker拥有的套接字文件/var/run/docker.sockdocker守护进程。其中一个必须是该组的成员,以便联系docker-d进程。
幸运的是,这个文件是有点错了,你还需要将用户添加到Docker组,以便他们使用Docker从非root帐户。我希望所有的发行有这样的政策。
在Fedora和RHEL我们对docker.sock以下权限:
# ls -l /run/docker.sock
srw-rw----. 1 root docker 0 Sep 19 12:54
/run/docker.sock
这意味着,只有Docker组中的root用户或用户可以向此套接字。此外,由于Docker运行asdocker_t,SELinux的防止全密闭域连接到此docker.sock。
从Docker无授权控制
Docker目前没有任何授权控制。如果你可以跟docker插座或Docker监听网络端口上,你可以谈论它,你可以执行所有Docker命令。
例如,如果我添加“dwalsh”的Docker组我的机器上,我可以执行。
> docker run -ti --rm --privileged --net=host -v /:/host fedora /bin/sh
# chroot /host
在这一点上你,或具有这些权限的任何用户,都有你的系统上完全控制。
将用户添加到该Docker组应被视为一样加入:
USERNAME= ALL(ALL)NOPASSWD:ALL
到/ etc/ sudoers文件。用户运行任何应用程序在他的机器上能够成为root,即使没有他知道。我相信,一个更好更安全的解决方案是编写脚本,允许用户要允许访问。
cat /usr/bin/dockersearch
#!/bin/sh
docker search $@
然后设置sudo:
USERNAME ALL=(ALL) NOPASSWD: /usr/bin/dockersearch
我希望最终加入某种授权数据库来Docker,让管理员可以配置哪些命令,你会允许用户执行,以及容器中,你可能会允许他们开始/停止。
首先消除执行Docker运行--privileged或Docker运行--cap,删除是在正确的方向迈出了一步的能力。但是,如果你看过我的其他职位,你知道,需要更多的工作要做,以使容器中包含。
作者最初发布的为“授予用户权限在Fedora中使用Docker。”。
CentOS 6/7系列安装Docker
在Ubuntu Trusty 14.04 (LTS) (64-bit)安装Docker