docker-machine com o driver “genérico”: preocupações de segurança

2

Eu quero usar o docker-machine para implantar contêineres em um servidor Debian 9 do meu computador local.

Eu segui as instruções de esta página , que indica claramente:

If you are using « sudo » on the host, make sure you configure passwordless sudo:

# visudo
%sudo   ALL=(ALL) NOPASSWD:ALL

Além disso, documentação do docker para generic driver da máquina docker menciona o mesmo :

Sudo privileges

The user that is used to SSH into the host can be specified with --generic-ssh-user flag. This user needs password-less sudo privileges. If it’s not the case, you need to edit the sudoers file and configure the user as a sudoer with NOPASSWD

Não sou especialista, mas sinto que algo está errado aqui ... Não permitir que um usuário em um servidor de produção execute qualquer comando sem abrir uma violação de segurança? Ou estou faltando alguma coisa?

    
por Antwane 19.06.2018 / 11:46

1 resposta

0

3 meses depois, acho que tenho uma resposta para minha própria pergunta. Parece que a configuração sem senha é necessária apenas quando o servidor de produção é registrado pela primeira vez no docker-machine.

Quando o comando docker-machine create --driver generic [...] for inserido com sucesso, docker-machine poderá se conectar ao host remoto usando o soquete na porta 2376 e sudo não será mais usado no servidor de produção.

Em outras palavras, a configuração do sudo sem senha deve estar presente por alguns segundos no servidor e pode ser desativada posteriormente.

    
por 02.10.2018 / 15:44