我知道在主机上运行的docker容器具有root权限。
我想从网络应用中使用HTTP requests启动容器,但我不相信正在运行docker的主机。
是否可以将我的容器设为"black-box",这样我甚至可以阻止主机中的根访问它?
我想要的只是简单地运行它?
我可以使用其他替代方案代替docker来实现这一目标吗?
答案 0 :(得分:2)
我知道在主机上运行的docker容器具有root权限。
这大多不正确。 docker容器只对容器可见的东西具有root访问权限;这是显式挂载到容器上的目录。
是否可以将我的容器设置为“黑盒子”,这样我甚至可以阻止主机中的root访问它?
没有。机器的root用户可以访问机器上的所有内容。无法阻止root用户访问容器。
我可以使用其他替代方案代替docker来实现这一目标吗?
您将在主机上以某种形式部署应用程序,这将导致可运行的进程。 root用户将始终可以访问和控制此过程。 因此,您采取的方式,无法阻止root用户访问应用程序进程。