在Fedora中如何授予权限给用户使用Docker
来源:互联网 发布:卖家如何退出农村淘宝 编辑:程序博客网 时间:2024/06/04 18:12
在Fedora中如何授予权限给用户使用Docker
本文翻译自Daniel J Walsh的一篇开源文章:http://opensource.com/business/14/10/docker-user-rights-fedora
在Docker-dev邮件列表,有人问有关描述了如何将用户添加到Docker组的Fedora文档。用户希望让他的用户做一个Docker搜索,试图找到他们可以使用的镜像。
从有关Fedora的docker安装文档:
授予用户权限的使用DockerFedora的19和20随Docker0.11。如果你还在使用0.11版本的包已经更新到1.0的Fedora20,您将需要授予权Docker的用户。docker命令行工具,通过接触被一群Docker拥有的套接字文件/var/run/docker.sockdocker守护进程。其中一个必须是该组的成员,以便联系docker-d进程。
幸运的是,这个文件是有点错了,你还需要将用户添加到Docker组,以便他们使用Docker从非root帐户。我希望所有的发行有这样的政策。
在Fedora和RHEL我们对docker.sock以下权限:
# ls -l /run/docker.sock srw-rw----. 1 root docker 0 Sep 19 12:54 /run/docker.sock
这意味着,只有Docker组中的root用户或用户可以向此套接字。此外,由于Docker运行asdocker_t,SELinux的防止全密闭域连接到此docker.sock。
从Docker无授权控制
Docker目前没有任何授权控制。如果你可以跟docker插座或Docker监听网络端口上,你可以谈论它,你可以执行所有Docker命令。
例如,如果我添加“dwalsh”的Docker组我的机器上,我可以执行。
> docker run -ti --rm --privileged --net=host -v /:/host fedora /bin/sh # chroot /host
在这一点上你,或具有这些权限的任何用户,都有你的系统上完全控制。
将用户添加到该Docker组应被视为一样加入:
USERNAME= ALL(ALL)NOPASSWD:ALL
到/ etc/ sudoers文件。用户运行任何应用程序在他的机器上能够成为root,即使没有他知道。我相信,一个更好更安全的解决方案是编写脚本,允许用户要允许访问。
cat /usr/bin/dockersearch #!/bin/sh docker search $@
然后设置sudo:
USERNAME ALL=(ALL) NOPASSWD: /usr/bin/dockersearch
我希望最终加入某种授权数据库来Docker,让管理员可以配置哪些命令,你会允许用户执行,以及容器中,你可能会允许他们开始/停止。
首先消除执行Docker运行--privileged或Docker运行--cap,删除是在正确的方向迈出了一步的能力。但是,如果你看过我的其他职位,你知道,需要更多的工作要做,以使容器中包含。
作者最初发布的www.projectatomic.io为“授予用户权限在Fedora中使用Docker。”。
本文翻译自Daniel J Walsh的一篇开源文章:http://opensource.com/business/14/10/docker-user-rights-fedora
- 在Fedora中如何授予权限给用户使用Docker
- Oracle中给用户授予debug权限
- 给用户授予debug权限
- 使用chmod如何给文件夹递归授予权限?
- oracle10g中,如何给开发用户授予d…
- 给oracle 增加用户 授予权限
- Sharepoint 2013 BCS 权限。 如何给外部开发者授予BCS权限。在 Azure 环境
- 在Mysql下查看给某个用户授予什么样的权限
- sys通过授予select_catalog_role角色给用户,使用户有权限查询数据字典。
- Oracel给指定用户授予访问其他用户资源权限
- oracle 11创建数据表并且给用户授予权限
- oracle创建表空间以及给用户授予权限
- 如何oracle 某一用户授予查询另一个用户某张表的权限,以及更新另一用户表中某些字段
- 创建角色+为角色授予权限+为角色撤销权限+为角色撤销权限+将角色授予给用户
- 如何只授予用户查看存储过程定义的权限
- 如何只授予用户查看存储过程定义的权限
- Linux 给新用户授予、设置Tomcat目录的使用权限
- Linux 给新用户授予、设置Tomcat目录的使用权限
- 高性能I/O设计模式概述
- Java-数据库(SQL Server):第二天-12/03/2014
- Oracle清缓存
- Android仿微信摇一摇,加速度传感器基本使用
- 《运动的小球》第一篇
- 在Fedora中如何授予权限给用户使用Docker
- Xcode6下添加.pch文件
- 频繁分配释放内存导致的性能问题的分析
- webView的适配
- window dos基本操作命令介绍
- hdu 5108
- ucos II 内核学习之三:任务调度
- DRBD
- 授权定位