我正在学习Docker,我非常喜欢它。
但是,我不明白,为什么docker需要root特权来制作容器,读取日志等等。
我读过一些这样的文章
https://docs.docker.com/articles/security/
但我所看到的只是“码头工人需要root特权,因为它可以访问根文件夹”。好吧,我不介意以非root用户身份运行docker,而只给他们访问外部系统中非root用户拥有的文件夹的权限。
为什么会有问题呢?
我正在学习Docker,我非常喜欢它。
但是,我不明白,为什么docker需要root特权来制作容器,读取日志等等。
我读过一些这样的文章
https://docs.docker.com/articles/security/
但我所看到的只是“码头工人需要root特权,因为它可以访问根文件夹”。好吧,我不介意以非root用户身份运行docker,而只给他们访问外部系统中非root用户拥有的文件夹的权限。
为什么会有问题呢?
Answers:
某些“很棒的”泊坞窗功能(例如端口绑定,挂载文件系统等)严格要求docker.io 守护程序以超级用户权限运行。
但是,如果守护程序正在侦听网络端口,或者用户可以访问其unix套接字以进行读写,则可以使用没有root特权的docker 命令行工具docker.io。
这是严重的安全冲突,通常不应使用。
有关Docker安全性的其他详细信息:https : //docs.docker.com/articles/security/
根据那些链接
如果我没有正确理解,码头工人就无法建立网络,如果它没有root权限。
我不确定是否就这些。