程序员人生 网站导航

在Fedora中如何授予权限给用户使用Docker

栏目:服务器时间:2014-12-13 09:28:01

在Fedora中如何授与权限给用户使用Docker


本文翻译自Daniel J Walsh的1篇开源文章:
http://opensource.com/business/14/10/docker-user-rights-fedora
在Docker-dev邮件列表,有人问有关描写了如何将用户添加到Docker组的Fedora文档。用户希望让他的用户做1个Docker搜索,试图找到他们可使用的镜像。

从有关Fedora的docker安装文档:

授与用户权限的使用Docker Fedora的19和20随Docker0.11。如果你还在使用0.11版本的包已更新到1.0的Fedora20,您将需要授与权Docker的用户。 docker命令行工具,通过接触被1群Docker具有的套接字文件/var/run/docker.sockdocker守护进程。其中1个必须是该组的成员,以便联系docker-d进程。


 

荣幸的是,这个文件是有点错了,你还需要将用户添加到Docker组,以便他们使用Docker从非root帐户。我希望所有的发行有这样的政策。

在Fedora和RHEL我们对docker.sock以下权限:

# ls -l /run/docker.sock srw-rw----. 1 root docker 0 Sep 19 12:54 /run/docker.sock


 


这意味着,只有Docker组中的root用户或用户可以向此套接字。另外,由于Docker运行asdocker_t,SELinux的避免全密闭域连接到此docker.sock。

从Docker无授权控制

Docker目前没有任何授权控制。如果你可以跟docker插座或Docker监听网络端口上,你可以谈论它,你可以履行所有Docker命令。

例如,如果我添加“dwalsh”的Docker组我的机器上,我可以履行。

> docker run -ti --rm --privileged --net=host -v /:/host fedora /bin/sh # chroot /host


 


在这1点上你,或具有这些权限的任何用户,都有你的系统上完全控制。

将用户添加到该Docker组应被视为1样加入:

USERNAME= ALL(ALL)NOPASSWD:ALL


到/ etc/ sudoers文件。用户运行任何利用程序在他的机器上能够成为root,即便没有他知道。我相信,1个更好更安全的解决方案是编写脚本,允许用户要允许访问。

cat /usr/bin/dockersearch #!/bin/sh docker search $@


 


然后设置sudo:

USERNAME ALL=(ALL) NOPASSWD: /usr/bin/dockersearch

我希望终究加入某种授权数据库来Docker,让管理员可以配置哪些命令,你会允许用户履行,和容器中,你可能会允许他们开始/停止。

首先消除履行Docker运行--privileged或Docker运行--cap,删除是在正确的方向迈出了1步的能力。但是,如果你看过我的其他职位,你知道,需要更多的工作要做,以使容器中包括。

作者最初发布的www.projectatomic.io为“授与用户权限在Fedora中使用Docker。”。

本文翻译自Daniel J Walsh的1篇开源文章:http://opensource.com/business/14/10/docker-user-rights-fedora

------分隔线----------------------------
------分隔线----------------------------

最新技术推荐