Por que o Docker precisa de privilégios de root?

11

Estou aprendendo o Docker e gosto bastante dele.

No entanto, não entendo por que o docker precisa de privilégios de root para criar contêineres, ler logs e assim por diante.

Eu li alguns artigos como este

link

mas tudo que vejo é que "o docker precisa de privilégios de root, porque ele pode ter acesso a pastas raiz". Bem, eu não me importaria de executar as janelas de encaixe como não-raiz e dar a elas acesso apenas a pastas de propriedade não-raiz do sistema externo.

Por que isso é um problema?

    
por Karel Bílek 22.09.2014 / 22:49

2 respostas

7

Alguns recursos da janela de encaixe "legais", como ligação de portas, montagem de sistemas de arquivos, etc., exigem que o docker.io daemon seja executado com privilégios de superusuário.

No entanto, você pode usar a ferramenta de linha de comando docker sem privilégios de root se o docker.io daemon estiver ouvindo uma porta de rede ou seu soquete unix estiver acessível para o usuário ler e escrever.

É uma GRANDE violação de segurança e normalmente não deve ser usada.

Detalhes adicionais sobre a segurança do Docker: link

    
por 07.10.2014 / 18:30
2

De acordo com esses links

As janelas de encaixe não poderiam ter rede, se não tivessem privilégios de root, se eu entendi corretamente.

Eu não tenho certeza se isso é tudo.

    
por 22.09.2014 / 23:00

Tags