Переключиться на Docker Root Пользователь

Question

Я работаю над Docker, и прежде чем выполнить какую-либо команду на Docker CLI, мне нужно переключиться на root, используя команду

sudo su - root

Может Кто-нибудь, пожалуйста, скажите мне, почему нам нужно переключиться на root пользователя, чтобы выполнить любую операцию на Docker Engine?

Answer 1

вам не нужно переключаться на root для docker команд cli, и обычно вы добавляете своего пользователя в группу docker

sudo groupadd docker
sudo usermod -aG docker $USER

см: https://docs.docker.com/engine/install/linux-postinstall/#manage - docker -as-a-non- root -пользователь

причина, по которой docker запускается как root:

The * Демон 1021 * привязывается к сокету Unix вместо порта TCP. По умолчанию этот сокет Unix принадлежит пользователю root, и другие пользователи могут получить к нему доступ только с помощью sudo. Демон Docker всегда работает как пользователь root.

Answer 2

Используя команды docker, вы можете легко получить root -уровневый доступ к любой части файловой системы хоста. Самым базовым примером c является

docker run --rm -v /:/host busybox cat /host/etc/shadow

, который даст вам файл зашифрованных паролей, которые вы сможете взломать в автономном режиме на досуге; но если бы я действительно хотел захватить машину, я бы просто написал свою собственную строку в /host/etc/passwd и /host/etc/shadow, создав альтернативного пользователя uid-0 без пароля и go в город.

* У 1019 * нет никакого способа ограничить то, какие docker команды вы можете запускать или какие файлы или тома вы можете монтировать. Так что, если вы вообще можете запустить любую команду docker, у вас будет неограниченный root доступ к хосту. Уместно указать его sudo.

Другим важным следствием этого является то, что использование опции dockerd -H для обеспечения доступности сокета Docker в сети требует от вашей системы удаленного рутирования. Google "Docker cryptojacking" для некоторых подробностей и ярких примеров из реальной жизни.