ทำไมนักเทียบท่าจึงต้องการสิทธิ์รูท

ฉันกำลังเรียนรู้นักเทียบท่าและฉันก็ชอบมาก

อย่างไรก็ตามฉันไม่เข้าใจว่าทำไมนักเทียบท่าจึงต้องการสิทธิ์รูทในการสร้างตู้คอนเทนเนอร์อ่านบันทึกและอื่น ๆ

ฉันได้อ่านบทความบางอย่างเช่นนี้

https://docs.docker.com/articles/security/

แต่ทั้งหมดที่ฉันเห็นคือ "นักเทียบท่าต้องการสิทธิ์รูทเพราะสามารถเข้าถึงโฟลเดอร์รูทได้" ฉันไม่รังเกียจที่จะเรียกใช้นักเทียบท่าในฐานะที่ไม่ใช่รูทและให้พวกเขาเข้าถึงเฉพาะโฟลเดอร์ที่ไม่ใช่ผู้ใช้รูทในระบบภายนอก

ทำไมถึงเป็นปัญหา?

คุณสมบัตินักเทียบท่า "เจ๋ง ๆ " บางอย่างเช่นการเชื่อมพอร์ต, การติดตั้งระบบไฟล์ ฯลฯ ต้องใช้docker.io daemonเพื่อให้ทำงานด้วยสิทธิ์พิเศษสำหรับผู้ใช้ระดับสูง

อย่างไรก็ตามคุณสามารถใช้docker เครื่องมือบรรทัดคำสั่งโดยไม่มีสิทธิ์รูทหากdocker.iodaemon กำลังฟังพอร์ตเครือข่ายหรือซ็อกเก็ตของยูนิกซ์นั้นสามารถเข้าถึงได้เพื่อให้ผู้ใช้สามารถอ่านและเขียนได้

เป็นการละเมิดความปลอดภัยที่ดีและไม่ควรใช้ตามปกติ

รายละเอียดเพิ่มเติมเกี่ยวกับความปลอดภัยของ Docker: https://docs.docker.com/articles/security/

ตามลิงค์เหล่านั้น

• https://github.com/docker/docker/issues/1034
• https://github.com/docker/docker/issues/2919
• http://s3hh.wordpress.com/2013/07/19/creating-and-using-containers-without-privilege/ (เกี่ยวข้องเพียงเล็กน้อยเท่านั้น)

นักเทียบท่าไม่สามารถเชื่อมต่อเครือข่ายได้ถ้ามันไม่มีสิทธิ์รูทหากฉันเข้าใจถูกต้อง

ฉันไม่แน่ใจว่าทั้งหมด