添加 docker 组不是一个好主意吗？

信息安全码头工人

2021-08-30 21:09:38

问题

从安全角度来看，创建一个 docker 组可能是个坏主意吗？

我看到堆栈交换答案告诉创建 docker 组以避免需要 root 权限或 sudo 的问题。

但是我认为为什么我们不让非 root 用户在 CentOS、Fedora 或 RHEL 中运行 Docker这篇文章也很有意义。

Docker 可以将 /run/docker.socket 的组所有权更改为具有 660 的组权限，组所有权为 docker 组。这将允许添加到 docker 组的用户能够运行 docker 容器，而无需执行 sudo 或 su 来成为 root。

有关的

1个回答

文档（尤其是Manage Docker as a non-root user part of Post-installation steps for Linux）对此非常清楚：

警告：docker 组授予与 root 用户等效的权限。有关这如何影响系统安全性的详细信息，请参阅 Docker Daemon Attack Surface。

自行创建 docker 组并不意味着存在安全风险（这是您一直在问的问题）。但是将用户添加到该组可能会增加您的攻击面（这可能是您想问的）。实际的安全风险取决于您的威胁模型。

其它你可能感兴趣的问题

上一篇允许较大的 http 正文大小的潜在漏洞是什么？下一篇脱机根 CA 是否已过时？