你们会将普通用户加入 docker 用户组吗？

2021-04-05 20:55:36 +08:00

rv54ntjwfm3ug8

这样恶意软件 / 正常软件被攻击时是否可以通过用 `-v /:/114514` 这样的参数创建容器来对主机系统文件进行未授权的修改？是否存在严重安全隐患，为什么官方的安装教程存在将普通用户加入 docker 用户组这一步？

1459 次点击

所在节点

2 条回复

jim9606

2021-04-05 21:23:59 +08:00

你说的这个攻击面是存在的，所以 docker 官方安全指南要求 docker socket 只能对受信任用户开放，如果需要更细致的限制方案，需要第三方 PaaS 组件实现。
还有一种方法是使用 systemd.exec 提供的防护开关缩减 docker.service 的权限及可见性。

julyclyde

2021-04-08 12:34:04 +08:00

官方哪个教程？？

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.