Laisser groupe non docker pour lancer des conteneurs

voix
1

Pour autant que je comprends, l'appartenance à un groupe de docker est essentiellement égal à des privilèges root. Je dois permettre à un utilisateur d'exécuter conteneur spécifique mais je ne veux pas qu'il soit équivalent racine.

Comme il est tout à fait problématique pour faire script bash setgid, je pensais à écrire court exécutable, qui serait setgid pour le groupe de docker et seule chose qu'il ferait est de lancer ce conteneur docker spécifique. Cet exécutable particulier serait + x et appartenant à un autre utilisateur. Le effet secondaire que tout utilisateur peut le lancer est acceptable pour moi.

Ne serait-ce faire une sécurité plus être dans le groupe de docker? Ou est-il encore trivial de rompre?

Je doute que je suis la première personne à vouloir cela, comment est-ce normalement résolu?

Créé 02/09/2016 à 16:32
source utilisateur
Dans d'autres langues...                            

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more