Este posibil să intrați în containerul docker fără permisiunea rădăcină a gazdei, când docker are nevoie de sudo pentru a rula?

Guan

27.12.2022, 10:40

Din câte știu, oamenii deschid de obicei un grup docker pentru utilizatorii obișnuiți, astfel încât să aibă un mediu separat pentru a face aproape orice fără permisiunea de root a gazdei.

Dar dacă comanda docker trebuie rulată de sudo, ca sudo docker exec -it CONTAINER /bin/bash , este o modalitate bună de a ascunde informații, de exemplu, codul sursă în container?

Întrebarea mea este, ca să fiu mai specific, dacă sudo este necesar să alergi docher, este posibil să vedeți ce se află în interiorul containerului sau chiar să îl accesați, fără permisiunea root?

624

1 + 0

Server

Securitate

Puncte:1

Ubuntu

Artur Meinild

27.12.2022, 10:54

Nu este necesar să rulați Docker ca root.

Docker are un modul „fără rădăcină”., care permite rularea containerelor Docker în spațiul utilizatorului. Cu toate acestea, există unele limitări la acest mod de operare enumerate în documentația legată. În acest mod, utilizatorul în cauză are acces deplin la containere și conținutul acestora.

Totuși, personal nu am nicio experiență cu rularea Docker în modul fără rădăcină.

Dacă doriți să rulați Docker ca serviciu la nivelul întregului sistem, este necesar rădăcină accesul sau calitatea de membru al docher grup. În acest mod, puteți rula următoarea comandă (ca membru al docher grup - folosind nginx ca exemplu și furnizat bash este în container):

docker exec -it nginx /bin/bash

Intri în terminalul containerului (ca root):

root@e209bdb1fe51:/#

Deci, chiar dacă nu sunteți root pe o mașină locală (ci un membru al docher grup), veți fi root în interiorul containerului.

0 + 2

Guan

27.12.2022, 13:55

Vă mulțumesc pentru răspuns, scuze pentru cuvintele mele nu sunt clare. Adică, pentru utilizatorii care nu fac parte din grupul docker și nu au permisiunea de root, ar putea să intre în container? Pentru a fi mai specific, dacă comanda docker poate rula doar de „sudo docker ...”, oamenii mai pot accesa containerul fără root?

Răspunde

user535733

27.12.2022, 14:27

Vă rugăm să editați întrebarea inițială pentru a indica clar întrebarea la care doriți să primiți răspuns.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Is it possible to get in docker container without root permission of host, when docker needs sudo to run?

TH: เป็นไปได้ไหมที่จะเข้าไปในคอนเทนเนอร์นักเทียบท่าโดยไม่ได้รับอนุญาตจากโฮสต์เมื่อนักเทียบท่าต้องการให้ sudo ทำงาน

RO: Este posibil să intrați în containerul docker fără permisiunea rădăcină a gazdei, când docker are nevoie de sudo pentru a rula?

RU: Можно ли попасть в контейнер докера без разрешения root хоста, когда для запуска докеру требуется sudo?

VI: Có thể truy cập bộ chứa docker mà không có quyền root của máy chủ lưu trữ không, khi docker cần sudo để chạy?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.