Có thể truy cập bộ chứa docker mà không có quyền root của máy chủ lưu trữ không, khi docker cần sudo để chạy?

Guan

10:40, 27/12/2022

Theo hiểu biết của tôi, mọi người thường mở nhóm docker cho người dùng thông thường, vì vậy họ có thể có một môi trường riêng để làm hầu hết mọi thứ mà không cần quyền root của máy chủ.

Nhưng nếu lệnh docker cần được chạy bởi sudo, Thích sudo docker exec -it CONTAINER /bin/bash , đó có phải là cách tốt để ẩn thông tin, chẳng hạn như mã nguồn trong vùng chứa không?

Câu hỏi của tôi là, cụ thể hơn, nếu sudo là cần thiết để chạy người đóng tàu, có thể xem nội dung bên trong vùng chứa hoặc thậm chí truy cập vào vùng chứa mà không cần quyền root không?

624

1 + 0

người phục vụ

Bảo vệ

Điểm:1

Ubuntu

Artur Meinild

10:54, 27/12/2022

Không cần chạy Docker với quyền root.

Docker có một chế độ "không root", cho phép bộ chứa Docker chạy trong không gian người dùng. Tuy nhiên, có một số hạn chế đối với chế độ vận hành này được liệt kê trong tài liệu được liên kết. Trong chế độ này, người dùng được đề cập có toàn quyền truy cập vào các vùng chứa và nội dung của chúng.

Cá nhân tôi không có bất kỳ kinh nghiệm nào với việc chạy Docker ở chế độ không root.

Nếu bạn muốn chạy Docker như một dịch vụ toàn hệ thống, nó yêu cầu nguồn gốc truy cập, hoặc tư cách thành viên của người đóng tàu tập đoàn. Trong chế độ này, bạn có thể chạy lệnh sau (với tư cách là thành viên của người đóng tàu nhóm - sử dụng nginx làm ví dụ và được cung cấp đánh đập nằm trong vùng chứa):

docker exec -it nginx/bin/bash

Bạn vào terminal của container (với quyền root):

root@e209bdb1fe51:/#

Vì vậy, ngay cả khi bạn không root trên máy cục bộ (nhưng là thành viên của người đóng tàu group), bạn sẽ là người chủ bên trong vùng chứa.

0 + 2

Guan

13:55, 27/12/2022

Cảm ơn câu trả lời của bạn, xin lỗi vì lời nói của tôi không rõ ràng. Ý tôi là, đối với người dùng không thuộc nhóm docker và họ không có quyền root, họ vẫn có thể vào vùng chứa chứ? Cụ thể hơn, nếu lệnh docker chỉ có thể chạy bởi `sudo docker ...`, thì mọi người vẫn có thể truy cập vùng chứa mà không cần root chứ?

Hồi đáp

user535733

14:27, 27/12/2022

Vui lòng chỉnh sửa câu hỏi ban đầu của bạn để nêu rõ câu hỏi mà bạn muốn trả lời.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Is it possible to get in docker container without root permission of host, when docker needs sudo to run?

TH: เป็นไปได้ไหมที่จะเข้าไปในคอนเทนเนอร์นักเทียบท่าโดยไม่ได้รับอนุญาตจากโฮสต์เมื่อนักเทียบท่าต้องการให้ sudo ทำงาน

RO: Este posibil să intrați în containerul docker fără permisiunea rădăcină a gazdei, când docker are nevoie de sudo pentru a rula?

RU: Можно ли попасть в контейнер докера без разрешения root хоста, когда для запуска докеру требуется sudo?

VI: Có thể truy cập bộ chứa docker mà không có quyền root của máy chủ lưu trữ không, khi docker cần sudo để chạy?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.