你们会将普通用户加入 docker 用户组吗?

theklf4 17天前 9

这样恶意软件 / 正常软件被攻击时是否可以通过用 `-v /:/114514` 这样的参数创建容器来对主机系统文件进行未授权的修改?是否存在严重安全隐患,为什么官方的安装教程存在将普通用户加入 docker 用户组这一步?
最新回复 (2)
  • jim9606 14天前
    引用 2
    你说的这个攻击面是存在的,所以 docker 官方安全指南要求 docker socket 只能对受信任用户开放,如果需要更细致的限制方案,需要第三方 PaaS 组件实现。
    还有一种方法是使用 systemd.exec 提供的防护开关缩减 docker.service 的权限及可见性。
  • julyclyde 14天前
    引用 3
    官方哪个教程??
  • 游客
    4
返回