我的伺服器中有一個docker,在我們群組中共用。但是,我發現其他人可以刪除我建立的容器。這是不安全的。我想知道是否有一種方法可以設定容器的權限。例如在Linux中,不同的使用者有不同的權限來存取不同的檔案。
答案1
任何能夠直接存取 docker 套接字(例如添加到 docker 群組)的人實際上都是主機上的 root。他們可以以 root 身分運行容器,並將主機檔案系統和其他命名空間對應到容器中,並具有允許容器以主機上的 root 身分轉義的權限。鑑於這種情況,擔心它們可以存取主機上的其他容器似乎是錯誤的。
您應該專注於只向您信任的主機上的系統管理員授予對 docker API 的存取權限。其他人只能透過實施適當安全措施的工具進行存取。通常,這涉及配置集中式日誌記錄和指標系統,以及僅透過 CI/CD 系統部署變更。
除此之外,您可以嘗試將 OPA 等配置為 docker 引擎上的 authz 插件,但您需要從透過檔案系統存取 docker 套接字轉換為使用每個人獨有的 TLS 憑證。
或者,Docker 提供了一個企業解決方案,該功能已內建到產品中。