信頼できるドッカー

信頼できるドッカー

exec信頼できないユーザーがdockerコマンドのサブセット(例:/)を実行できるようにdockerを設定できますかstart?これにより、コンテナをプロセスサーバー(コンパイルサーバーなど)に設定し、ユーザーがそのタスクを実行できるようになります。stoprun

ただし、新しいコンテナを作成したり、ホストシステムファイルに書き込むことはできません(または自分で読み書きできない場所では読み書きできません)。そして、主人に害を及ぼすことはできません。

答え1

私の考えでは、Podmanはあなたのユースケースに適していると思います。

答え2

この文は以下に引用された。Debian Wiki

Dockerグループのメンバーシップはsudoよりも危険です

これドッカー文書説明する:

まず、信頼できるユーザーだけがDockerデーモンを制御する権限を持っています。

そして:

docker グループはユーザーに root レベルの権限を付与します。

信頼できないユーザーをDockerグループに追加しないでください。代わりに、デーモンとコンテナがルートとして実行されず、代わりにユーザーの名前空間で実行されるルートレスモードを許可できます。バラよりroot以外のユーザーとしてDockerデーモンを実行する(ルートレスモード)

関連情報