你们会将普通用户加入 docker 用户组吗?
資深大佬 : theklf4 5
这样恶意软件 / 正常软件被攻击时是否可以通过用 `-v /:/114514` 这样的参数创建容器来对主机系统文件进行未授权的修改?是否存在严重安全隐患,为什么官方的安装教程存在将普通用户加入 docker 用户组这一步?
大佬有話說 (2)
你们会将普通用户加入 docker 用户组吗?
-
資深大佬 : jim9606你说的这个攻击面是存在的,所以 docker 官方安全指南要求 docker socket 只能对受信任用户开放,如果需要更细致的限制方案,需要第三方 PaaS 组件实现。
还有一种方法是使用 systemd.exec 提供的防护开关缩减 docker.service 的权限及可见性。 -
資深大佬 : julyclyde官方哪个教程??
-