我正在尝试使服务器上的 docker 更加安全。主要问题是大多数人说“如果一个人可以访问 docker,那么他们也可以是 root”,因为管理员很少这样做,这不是您想要的。
详细地说,他们可以使用-v
并挂载/etc
到/mnt
容器中并更改影子文件并获得对主机的访问权限。他们也可以使用-d
, 或特权选项来做更多事情。
所以基本上,我想“尝试”和限制一些事情。
- 卷绑定挂载
- 特权
--add-cap
-d
(某些项目?)
到目前为止我的想法:
- docker bash 脚本的别名,在其上使用 sudo 并正则表达式所有他们不应该做的事情。
- 打开远程 api,保护它,也许用 nginx 和 nginx 中的正则表达式对其进行反向代理,这是他们不应该做的事情。
- 使用其他工具?Mesos/马拉松/蜂群/造船厂/随便
可选项目是使容器提交到 git 代码,并让“检查器”验证内容Dockerfile
并为它们创建图像。然后签署该映像并自动部署它。(但这不会再给他们太多的自由了)
此外,删除绑定卷也不是最好的。如果我们有一个 docker 插件,上面写着“你只能/data
以用户 X 的身份挂载”,那会简单得多,其中那个USER
是Dockerfile
用户 X。
像docker-novolume-plugin这样的东西已经是卷的一个很好的开始,虽然不限制绑定卷。
最后的问题是,我怎样才能让用户以他们自己的用户/docker 身份构建/拉取/运行 docker 映像,而不能 root 系统。不一定是完美的,只要它有效。