Как запретить другим пользователям останавливать / удалять мой контейнер докеров

Question

В упрощенном варианте: В нашей общей серверной системе есть два пользователя:

user_1 (me) user_2

Docker устанавливается в масштабе всей системы для пользователей.

I user_1, создал докер-контейнер, используя стандартный docker run, выполняющий мой процесс. Но user_2 имеет доступ к этому контейнеру, поэтому он / она может не только просматривать, но и останавливать и удалять мой контейнер.

Как я могу запретить user_2 или другим пользователям доступ к этому контейнеру. Примечание. Ни один пользователь не имеет root-доступа через sudo. . Спасибо!

Answer 1

Примечание. Ни один пользователь не имеет root-доступа через sudo

Если у пользователей есть доступ к док-станции, у них всех есть права доступа root на хосте. Вы потеряли всю безопасность в этот момент. Если вы не верите этому, посмотрите, какой у вас доступ к / хосту:

docker run --privileged --net=host --pid=host -v /:/host debian /bin/bash

Существуют проекты по ограничению доступа к докер-сокету с помощью плагинов authz, в том числе twistlock и агента открытой политики. Для этого нужно немало настроек, включая аннулирование доступа к сокету из файловой системы и использование ключей tls для доступа к зашифрованному и аутентифицированному порту. Вы также можете воспользоваться коммерческим маршрутом и использовать Docker EE с UCP для управления пользователями и их правами доступа.