TL;DR: dockerassociação ao grupo = direitos de root

O dockergrupo

É verdade que é um conselho frequentemente lido para adicionar usuários que devem poder usar o docker ao dockergrupo. No entanto, como os usuários são root dentro de contêineres e podem montar qualquer caminho no sistema usando -v(mesmo os caminhos aos quais normalmente não têm acesso), isso está efetivamente dando a todos os usuários direitos de root.

Portanto, deve ser considerado apenas uma preocupação "menor" que os usuários possam mexer nos contêineres de outros usuários. Eles podem realmente fazer qualquer coisa com o sistema se forem membros do dockergrupo.

Docker em uma máquina compartilhada

Se realmente precisar ser o Docker original, considere duas opções:

1. A solução estável: Docker na VM

O que estou fazendo o tempo todo é executar o Docker dentro de máquinas virtuais. Você adiciona uma máquina virtual por usuário à máquina compartilhada e permite que os usuários executem contêineres nessa máquina. Claro, isso só funciona se você puder tolerar a sobrecarga de recursos (e com muitos usuários dos quais apenas alguns estão logados no momento, pode ser necessário desenvolver algum esquema para iniciar e parar VMs automaticamente).

2. A solução experimental: Rootless Docker

Eu não sei o estado atual do projeto, mas há trabalho para tornar o Docker disponível sem root st um usuário pode simplesmente executar seu próprio Docker (sem precisar de associações de grupo). Consulte https://engineering.docker.com/2019/02/experimenting-with-rootless-docker/

Outra solução: alternativa ao Docker.

Caso não precise ser o Docker, mas qualquer ambiente de container, considere as alternativas. Eu li que podmanoferece uma interface muito semelhante sem a necessidade de executá-lo como root.