以码头工人为例。安装 docker 后,我们可以选择对每个 docker 命令使用 sudo,或者将用户添加到“docker”组,该用户可以运行所有 docker 命令。(我理解将用户添加到 docker 组的严重安全隐患,但请忽略这方面,因为它与我的问题无关)。
因此,一旦将用户添加到“docker”组,用户就可以直接运行所有 docker 命令,例如“docker ps”、“docker images”等(无需 sudo)。通过 docker 进程,用户可以读取和写入显然属于 root 的文件,例如 /var/lib/docker & /etc/docker/daemon.json 等。
仅仅通过将用户添加到组中,这一切怎么可能实现?在哪里可以查看/修改组成员允许和禁止的内容?