如何防止主机操作系统的根访问容器内的内容?
我们对容器技术不熟悉,目前正在评估它是否可用于我们的新项目。 我们的关键要求之一是多租户的数据安全。 即每个容器包含仅由特定租户拥有的数据。 即使我们,主机服务器的服务器pipe理员,也不应该能够访问容器内的内容。
通过一些Googlesearch,我们知道主机操作系统的根可以在容器内执行命令,例如通过“docker execute”命令。 我想这个命令是以root权限执行的? 如何进入docker集装箱?
我们想知道是否可以通过一些安全configuration来阻止/禁用这种types的访问(不仅仅是“docker执行”,还包括通过主机服务器的服务器pipe理访问容器内容的任何方法)?
特别是对于bash命令,在.bashrc文件的末尾添加exit命令。 所以用户login并最终被踢出。
你可以通过这个链接来更好地理解为什么默认不实现https://github.com/moby/moby/issues/8664