共计 1323 个字符,预计需要花费 4 分钟才能阅读完成。
自动写代码机器人,免费开通
丸趣 TV 小编给大家分享一下怎么在 Fedora 中为用户授予使用 Docker 的权限,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧!
为用户授予使用 Docker 的权限
Fedora 19 和 20 随带 Docker 0.11。该软件包在 Fedora 20 中已经被更新到了 1.0 版本。如果你眼下仍使用使用 0.11 版本,就需要将权限授予 Docker 用户。
docker 命令行工具通过用户组 docker 拥有的套接字文件 /var/run/docker.sock,联系 docker 守护进程。某个用户必须是该用户组的成员,才能联系 docker - d 进程。
幸好,该说明文档有点错误,你仍需要将用户添加到 docker 用户组,才能让这些用户通过非 root 帐户使用 docker。但愿所有发行版都有这条政策。
在 Fedora 和 RHEL 上,我们对 docker.sock 拥有下列权限:
# ls -l /run/docker.sock
srw-rw—-. 1 root docker 0 Sep 19 12:54
/run/docker.sock
这意味着,只有 root 用户或 docker 用户组中的用户才能与该套接字进行对话。另外由于 docker 运行 asdocker_t,SELinux 防止所有被限制的域连接到该 docker.sock。
docker 没有授权控制机制
docker 目前没有任何的授权控制机制。如果你能与 docker 套接字进行对话,或者 docker 侦听某个网络端口,你能与之对话,就可以执行所有的 docker 命令。
比如说,如果我在自己的电脑上将“dwalsh”添加到 docker 用户组,就可以执行:
docker run -ti –rm –privileged –net=host -v /:/host fedora /bin/sh
# chroot /host
这时,你或者拥有这些权限的任何用户都完全控制你的系统。
将用户添加到 docker 用户组应该被认为与将 USERNAME ALL=(ALL) NOPASSWD: ALL 添加到 /etc/sudoers 文件一样。用户在其电脑上运行的任何应用程序都可以成为 root,甚至在用户不知情的情况下。我认为,一种更安全的解决办法就是编写脚本,允许你想允许访问的用户有权访问。
cat /usr/bin/dockersearch
#!/bin/sh
docker search $@
然后使用下面这个命令创建 sudo:
USERNAME ALL=(ALL) NOPASSWD: /usr/bin/dockersearch
我希望最终将某一种授权数据库添加到 docker,以便管理员们可以配置你允许用户执行哪些命令、允许用户开启 / 停止哪些容器。
正确的 *** 步将是,先消除执行 docker run –privileged 或 docker run –cap-remove 的功能。
以上是“怎么在 Fedora 中为用户授予使用 Docker 的权限”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注丸趣 TV 行业资讯频道!
向 AI 问一下细节
丸趣 TV 网 – 提供最优质的资源集合!
