我正在使用 CentOS 6.9 系统的高性能计算平台,我想在非 root 用户中使用 docker。有没有一种方法可以让我从源代码构建 docker 并且不需要 root 权限?
【问题讨论】:
这应该是不可能的,因为这将是一个主要的安全问题。
在机器上安装 docker 后,具有 docker 访问权限的用户(不一定是 root)可以启动容器。特别是,他们可以以特权模式启动容器,使容器能够访问所有主机设备。
更重要的是,拥有 docker 访问权限的用户可以挂载机器 root 专有的目录。由于默认情况下,容器内的 root 用户将有权访问容器内挂载的 root 拥有的目录,这将允许由非 root 用户启动的任何 Docker 容器访问关键的机器内容。
因此,不应该允许非 root 用户安装 Docker 和启动容器的顺序,因为它可能会危及整个机器。
从一位 docker 维护者那里检查这个明确的comment。
【讨论】:
0 (root) 的用户映射到主机上的 root。为了解决这个问题,Docker 引入了用户命名空间(docs.docker.com/engine/security/userns-remap),将容器 uid 映射到主机上的不同范围,从而避免了提及漏洞。但是,仍然安装 Docker 需要特权访问。
更新 yamenk 的回答:
Docker 现在有了官方的无根模式:Run the Docker daemon as a non-root user
以下是一位 Docker 工程师对其工作原理的解释:
Experimenting with Rootless Docker
【讨论】: