描述
Docker 守护进程需要 'root' 权限。对于添加到 'docker' 组的用户被提供了拥有完整的 'root' 访问权限。
安全出发点
Docker 允许在 Docker 主机和访客容器之间共享目录,而不会限制容器的访问权限。这意味着可以启动容器并将主机上的 / 目录映射到容器。容器能够不受任何限制地更改主机文件系统。简而言之,这意味着只需作为 'docker' 组的成员即可获得较高的权限,然后在主机上启动具有映射 / 目录的容器。
审计方法
在 Docker 主机上执行以下命令,并确保只有可信用户是 docker 组的成员。
getent group docker
结果判定
判断是否必须要加入 docker 组的用户
修复措施
从 'docker' 组中删除任何不受信任的用户。另外,请勿在主机上创建敏感目录到容器卷的映射。
影响
作为普通用户构建和执行容器的权限将受到限制
默认值
不适用