Tengo una ventana acoplable en un servidor, que se comparte en nuestro grupo. Sin embargo, encuentro que otros pueden eliminar el contenedor que creo. No es seguro. Me pregunto si hay alguna manera de establecer permisos para contenedores. En Linux, diferentes usuarios tienen diferentes permisos para acceder a un archivo diferente.
Respuesta1
Cualquiera que tenga acceso directo al socket de la ventana acoplable (por ejemplo, si se agrega al grupo de la ventana acoplable) es efectivamente root en el host. Pueden ejecutar contenedores como raíz con el sistema de archivos del host y otros espacios de nombres asignados al contenedor, y con privilegios que permiten que un contenedor escape como raíz en el host. Dada esa situación, la preocupación de que tengan acceso a otros contenedores en el host parece equivocada.
Debe centrarse en dar acceso a la API de Docker únicamente a aquellos en quienes confía como administrador de sistemas en el host. Todos los demás sólo deberían tener acceso a través de herramientas que implementen las medidas de seguridad adecuadas. A menudo, esto implica configurar sistemas centralizados de registro y métricas e implementar cambios solo a través de un sistema CI/CD.
Aparte de eso, puede intentar configurar algo como OPA como un complemento de autenticación en el motor de Docker; sin embargo, deberá realizar la transición del acceso al socket de Docker a través del sistema de archivos al uso de credenciales TLS únicas para cada individuo.
Alternativamente, Docker ofrece una solución empresarial en la que esta funcionalidad está integrada en el producto.