exec
信頼できないユーザーがdockerコマンドのサブセット(例:/)を実行できるようにdockerを設定できますかstart
?これにより、コンテナをプロセスサーバー(コンパイルサーバーなど)に設定し、ユーザーがそのタスクを実行できるようになります。stop
run
ただし、新しいコンテナを作成したり、ホストシステムファイルに書き込むことはできません(または自分で読み書きできない場所では読み書きできません)。そして、主人に害を及ぼすことはできません。
答え1
私の考えでは、Podmanはあなたのユースケースに適していると思います。
答え2
この文は以下に引用された。Debian Wiki。
Dockerグループのメンバーシップはsudoよりも危険です
これドッカー文書説明する:
まず、信頼できるユーザーだけがDockerデーモンを制御する権限を持っています。
そして:
docker グループはユーザーに root レベルの権限を付与します。
信頼できないユーザーをDockerグループに追加しないでください。代わりに、デーモンとコンテナがルートとして実行されず、代わりにユーザーの名前空間で実行されるルートレスモードを許可できます。バラよりroot以外のユーザーとしてDockerデーモンを実行する(ルートレスモード)