V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
rv54ntjwfm3ug8
V2EX  ›  Docker

你们会将普通用户加入 docker 用户组吗?

  •  
  •   rv54ntjwfm3ug8 · 2021-04-05 20:55:36 +08:00 via iPhone · 1443 次点击
    这是一个创建于 1088 天前的主题,其中的信息可能已经有所发展或是发生改变。
    这样恶意软件 / 正常软件被攻击时是否可以通过用 `-v /:/114514` 这样的参数创建容器来对主机系统文件进行未授权的修改?是否存在严重安全隐患,为什么官方的安装教程存在将普通用户加入 docker 用户组这一步?
    2 条回复    2021-04-08 12:34:04 +08:00
    jim9606
        1
    jim9606  
       2021-04-05 21:23:59 +08:00   ❤️ 1
    你说的这个攻击面是存在的,所以 docker 官方安全指南要求 docker socket 只能对受信任用户开放,如果需要更细致的限制方案,需要第三方 PaaS 组件实现。
    还有一种方法是使用 systemd.exec 提供的防护开关缩减 docker.service 的权限及可见性。
    julyclyde
        2
    julyclyde  
       2021-04-08 12:34:04 +08:00   ❤️ 1
    官方哪个教程??
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1013 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 19:38 · PVG 03:38 · LAX 12:38 · JFK 15:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.