Warum benötigt Docker Root-Rechte?

11

Ich lerne Docker und es gefällt mir sehr gut.

Ich verstehe jedoch nicht, warum Docker Root-Berechtigungen zum Erstellen von Containern, Lesen von Protokollen usw. benötigt.

Ich habe einige Artikel wie diesen gelesen

https://docs.docker.com/articles/security/

Aber alles, was ich dort sehe, ist "Docker benötigt Root-Berechtigungen, weil es Zugriff auf Root-Ordner haben kann". Nun, es würde mir nichts ausmachen, Docker als Nicht-Root-Ordner auszuführen und ihnen nur Zugriff auf nicht-Root-Benutzerordner im externen System zu gewähren.

Warum ist das ein Problem?

Karel Bílek
quelle

Antworten:

9

Für einige "coole" Docker-Funktionen wie Portbindung, Mounten von Dateisystemen usw. muss der docker.io Daemon unbedingt mit Superuser-Berechtigungen ausgeführt werden.

Sie können das docker Befehlszeilentool jedoch ohne Root-Rechte verwenden, wenn der docker.ioDaemon einen Netzwerkport abhört oder der Benutzer über seinen Unix-Socket lesen und schreiben kann.

Es ist eine große Sicherheitsverletzung und sollte normalerweise nicht verwendet werden.

Zusätzliche Details zur Docker-Sicherheit: https://docs.docker.com/articles/security/

Sergey P. aka azurblau
quelle