是否有可能阻止容器内的RedHat / CentOS Docker主机root访问?
我想为工作人员提供一个最小的CentOS / RedHat虚拟机来使用非root用户帐户login。 我让Docker套接字可供用户通过chgrping套接字并将帐户添加到docker组中运行docker 1.12 cli命令。
假设我们将TCP API以及所有的CaaS / PaaS产品摆脱了这个问题,在虚拟机上,是否可以使用SELinux,seccomp和/或linuxfunction的操纵或其他任何(包括GRSec / PAX)来防止使用Docker容器来访问Docker主机上的root用户?
这篇文章似乎并没有确定。
如果你将主机的Docker套接字暴露给容器,那么你已经给了它们主机的root权限。
如果您试图在容器中提供独立的Docker环境,则应该使用Docker-in-Docker。 查看docker图像的dind标记的图像 。 这是如何使用Docker的作品。