Как ограничить возможность пользователей групп докеров прикреплять запущенные контейнеры докеров, которые были запущены другим пользователем группы?

Question

У меня есть пользователь (A, B, ...) в группе Docker, в основном, каждый пользователь может запустить контейнер из изображения, но проблема возникает, когда пользователь A запускает контейнер в фоновом режиме (с флагом -d),В это время пользователь B может прикрепить этот контейнер.Как лучше всего ограничить пользователей только присоединением контейнера, который они запускают?

Я перепутал некоторые корневые права доступа, пространства имен и т. Д., Которые я не знаю, а также Docker.

Answer 1

Любой, кто может выполнить любую команду Docker, имеет неограниченный root-доступ к хосту.

Docker не имеет встроенного способа ограничения доступа так, как вы предлагаете,Любой может docker attach в чужие контейнеры;каждый может docker stop; docker rm их;любой может docker run идентичный на вид контейнер, но с различными объемными креплениями;любой может docker run -v/:/host ... и внести произвольные изменения в файловую систему хоста от имени root.

Вам следует пересмотреть вопрос о том, можно ли вообще использовать Docker в многопользовательской системе, подобной этой.Добавление кого-либо в группу docker равносильно предоставлению ему неограниченного доступа sudo (и для него это простая команда docker run, чтобы дать его себе, если у него его еще нет).

Answer 2

Я хотел сказать «создайте новые группы для каждого пользователя», но тогда вам нужно будет настроить каждую группу с разрешениями Docker, которые позволят вам вернуться туда, где вы находитесь. Делая небольшое исследование, также невозможно для групп быть частью групп. https://unix.stackexchange.com/questions/47645/group-within-group-file-permissions

Я не верю, что существует управляемый способ выполнить то, что вы хотите сделать, за исключением помещения каждого пользователя на свой компьютер / экземпляр / виртуальную машину.

Если вы поймете это, мне будет интересно узнать решение. Желаем удачи.