Eu tenho uma janela de encaixe em um servidor, que é compartilhada em nosso grupo. No entanto, acho que outras pessoas podem excluir o contêiner que criei. Não é seguro. Gostaria de saber se existe uma maneira de definir permissão para contêineres. Assim, no Linux, usuários diferentes têm permissões diferentes para acessar um arquivo diferente.
Responder1
Qualquer pessoa que tenha acesso direto ao soquete do docker (por exemplo, sendo adicionado ao grupo do docker) é efetivamente root no host. Eles podem executar contêineres como root com o sistema de arquivos do host e outros namespaces mapeados no contêiner e com privilégios que permitem que um contêiner escape como root no host. Dada essa situação, a preocupação de que eles tenham acesso a outros contêineres no host parece equivocada.
Você deve se concentrar em fornecer acesso à API do docker apenas àqueles em quem você confia como administrador de sistema no host. Todos os demais só deverão ter acesso por meio de ferramentas que implementem as medidas de segurança adequadas. Muitas vezes, isso envolve a configuração de sistemas centralizados de registro e métricas e a implantação de alterações apenas por meio de um sistema CI/CD.
Além disso, você pode tentar configurar algo como OPA como um plug-in authz no mecanismo docker; no entanto, você precisará fazer a transição do acesso ao soquete do docker pelo sistema de arquivos para usar credenciais TLS exclusivas para cada indivíduo.
Como alternativa, o Docker oferece uma solução empresarial onde essa funcionalidade está integrada ao produto.