我想向员工提供最小的CentOS / RedHat VM,以使用非root用户帐户登录。我通过插入套接字并将帐户添加到docker组中,使用户可以使用docker socket来运行docker 1.12 cli命令。
假设我们在VM上留下TCP API和所有CaaS / PaaS产品,可以使用SELinux,操纵seccomp和/或linux功能或其他任何东西(包括GRSec / PAX)来防止使用Docker容器访问Docker主机上的root用户?
This post似乎没有成为明确的。
答案 0 :(得分:2)
如果您将主机的Docker套接字暴露给容器,那么您基本上已经向主机授予了root权限。
如果您尝试在容器中提供隔离的Docker环境,则应使用Docker-in-Docker。请参阅dind标记的docker image图片。这就是Play with Docker的工作原理。