本文探讨了使用非root用户启动Docker容器的安全性问题。通过实验发现,即使非root用户启动容器,仍能修改宿主机上root用户的文件,揭示了Docker容器与宿主机权限潜在的隐患。解决方案包括容器用户ID映射和以非root用户运行Docker守护进程。
文章目录
本系列之前的文章中使用root用户安装docker,并在root用户下启动docker守护进程,容器也是在root用户下启动运行的。那么问题就出现了:我们的容器服务进程都是root用户权限,使用数据卷的方式想挂载哪个目录就挂载那个目录;想修改挂载目录下的哪个文件,就修改哪个文件。 那么我们本文带大家使用非root用户来启动docker容器,是否就安全了呢? 我们先不说答案,让我们一起来通过实验,来解答我们的疑问。
一、使用非root用户启动docker容器
为了提升安全性,我们考虑一种方案:使用非root用户启动docker容器。为此我们做一个实验,首先我们创建一个普通用户zimug,执行命令 useradd zimug;。并且将这个用户加入docker用户组,因为docker用户组的用户才能启动docker容器。
#zimug加入docker用户组
usermod -G docker zimug;
#在zimug用户下启动容器
docker run -d --name nginx-zimug -p 80:80 nginx;
以上的操作证明使用非root用户启动docker容器是可行的,但是安全性有没有得到提升,我们还需要验证。
最低0.47元/天 解锁文章
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
