限制Docker组中的用户不运行特权容器

Docker守护进程以root身份运行。 一旦我们将用户添加到Docker组中,他可以启动任何Docker容器甚至特权容器。 这似乎是一个严重的安全问题。

有没有办法限制Docker组中的一些用户不能运行特权容器?

目前没有办法限制对特权容器的访问。 这就是为什么,例如,Fedora已经放弃了docker组(因为授予docker访问权限就像授予无密码sudo访问一样)。

如果你想提供“docker-as-a-service”,你可能想把类似于Kubernetes的东西放在它的前面,它只提供对Docker API的间接访问,可以configuration为允许或拒绝使用特权容器。

许多Docker用户通过更改Docker用户的域“SecurityContext”来实施和限制SElinux,