在Fedora中如何授予權(quán)限給用戶使用Docker

在Fedora中如何授與權(quán)限給用戶使用Docker

本文翻譯自Daniel J Walsh的1篇開源文章：http://opensource.com/business/14/10/docker-user-rights-fedora
在Docker-dev郵件列表，有人問有關描寫了如何將用戶添加到Docker組的Fedora文檔。用戶希望讓他的用戶做1個Docker搜索，試圖找到他們可使用的鏡像。

從有關Fedora的docker安裝文檔：

榮幸的是，這個文件是有點錯了，你還需要將用戶添加到Docker組，以便他們使用Docker從非root帳戶。我希望所有的發(fā)行有這樣的政策。

在Fedora和RHEL我們對docker.sock以下權(quán)限：

這意味著，只有Docker組中的root用戶或用戶可以向此套接字。另外，由于Docker運行asdocker_t，SELinux的避免全密閉域連接到此docker.sock。

從Docker無授權(quán)控制

Docker目前沒有任何授權(quán)控制。如果你可以跟docker插座或Docker監(jiān)聽網(wǎng)絡端口上，你可以談論它，你可以履行所有Docker命令。

例如，如果我添加“dwalsh”的Docker組我的機器上，我可以履行。

在這1點上你，或具有這些權(quán)限的任何用戶，都有你的系統(tǒng)上完全控制。

將用戶添加到該Docker組應被視為1樣加入：

USERNAME= ALL（ALL）NOPASSWD：ALL

到/ etc/ sudoers文件。用戶運行任何利用程序在他的機器上能夠成為root，即便沒有他知道。我相信，1個更好更安全的解決方案是編寫腳本，允許用戶要允許訪問。

然后設置sudo：

USERNAME ALL=(ALL) NOPASSWD: /usr/bin/dockersearch

我希望終究加入某種授權(quán)數(shù)據(jù)庫來Docker，讓管理員可以配置哪些命令，你會允許用戶履行，和容器中，你可能會允許他們開始/停止。

首先消除履行Docker運行--privileged或Docker運行--cap，刪除是在正確的方向邁出了1步的能力。但是，如果你看過我的其他職位，你知道，需要更多的工作要做，以使容器中包括。

作者最初發(fā)布的www.projectatomic.io為“授與用戶權(quán)限在Fedora中使用Docker。”。

本文翻譯自Daniel J Walsh的1篇開源文章：http://opensource.com/business/14/10/docker-user-rights-fedora

生活不易，碼農(nóng)辛苦
如果您覺得本網(wǎng)站對您的學習有所幫助,可以手機掃描二維碼進行捐贈