Добавление нового пользователя в Docker и ограничение его прав

Question

Я использую образ докера Linux и пытаюсь добиться следующего:

1. Запустить докер
2. Создать пользователя test
3. Остановить пользователя проверить из доступа в интернет

1 и 2 работают, но я застрял на # 3.

Что я пробовал?

1. Выполнить iptables -t mangle -A OUTPUT -o eth0 -m owner --uid-owner 501 -j DROP.Эта команда завершилась неудачно с сообщением об ошибке «странным образом сбивается getsockopt: операция не разрешена».Мне не удалось найти основную причину
2. Изменить файл sudoer и добавить запись test ALL=!/bin/ping.Это должно было увидеть, смогу ли я остановить пользовательский тест от запуска команды ping.Однако это изменение в файле sudoer не повлияло, и пользовательский тест смог запустить команду ping.Предполагая, что это сработает, я намеревался поиграться с sudoer для достижения моей цели

Есть рекомендации или предложения по решению этой проблемы?

Answer 1

Чтобы заблокировать доступ в Интернет для определенных пользователей с помощью команды iptables.

sudo iptables -A OUTPUT -m owner --uid-owner {USERNAME} -j REJECT

Если вы хотите, чтобы эта команда запускалась при запуске системы, вы должны добавить еедо конца вашего файла /etc/rc.local.

команда для обратного выше:

sudo iptables -D OUTPUT -m owner --uid-owner {USERNAME} -j REJECT

или вы можете перезагрузиться.Если вы не добавили строку в /etc/rc.local, она не является постоянной, и если она у вас есть, вы можете просто удалить эту строку.

вы можете прочитать more