docker权限相当于root？

水木社区手机版

主题:docker权限相当于root？
楼主|RaZRo|2022-03-26 06:28:55|只看此ID
那怎么玩啊，办公环境没办法普及吧
--
FROM 222.131.240.*
1楼|hongyan2022|2022-03-26 14:08:43|只看此ID
你什么意思？
象虚拟机一样，对客机你当然是全权控制了。

【在 RaZRo 的大作中提到: 】
: 那怎么玩啊，办公环境没办法普及吧
--
FROM 47.144.172.*
2楼|RaZRo|2022-03-26 16:20:19|只看此ID
但是docker里的root可以对host的root目录读写啊。

【在 hongyan2022 的大作中提到: 】
: 你什么意思？
: 象虚拟机一样，对客机你当然是全权控制了。
:
--
FROM 222.131.240.*
3楼|poocp|2022-03-26 16:52:13|只看此ID
我就是不喜欢docker需要root，所以一直用podman
--
FROM 171.221.52.*
4楼|myfreeware|2022-03-27 10:27:42|只看此ID
【在 RaZRo 的大作中提到: 】
: 但是docker里的root可以对host的root目录读写啊。

可以通过 docker run 命令的 --user 参数指定容器中进程的用户身份
--
FROM 110.19.213.*
5楼|ssjkee|2022-03-27 13:02:57|只看此ID
1. 你不把host上的文件系统mount过去，不出现安全漏洞的情况下，容器里面也看不到。
2. 容器里的用户正常应该做remapping的(/etc/subuid, /etc/subgid)，remapping之后容器里的root也只是host上的一个普通用户而已。
3. 没有复杂或者特殊需求用podman吧, docker的server-client模式还是有一些安全隐患的。

【在 RaZRo 的大作中提到: 】
: 但是docker里的root可以对host的root目录读写啊。
: :
--
FROM 58.212.168.*
6楼|hongyan2022|2022-03-27 14:32:26|只看此ID
user root in a container accesses /root on host ?

container 里整个文件系统都是虚拟的，这种事怎么发生的?

【在 RaZRo 的大作中提到: 】
: 但是docker里的root可以对host的root目录读写啊。
: :
--
FROM 47.144.172.*
7楼|RaZRo|2022-03-27 15:30:22|只看此ID
我是说在主机上给userdocker的权力相当于给了user root权力。

【在 hongyan2022 的大作中提到: 】
: user root in a container accesses /root on host ?
: container 里整个文件系统都是虚拟的，这种事怎么发生的?
:
--
FROM 222.131.240.*
8楼|miaomia|2022-03-27 15:39:14|只看此ID
--cap-add
【在 poocp 的大作中提到: 】
: 我就是不喜欢docker需要root，所以一直用podman
: --

发自「今日水木 on M2102K1AC」
--
FROM 114.254.3.*
9楼|pfan117|2022-03-27 23:28:10|只看此ID
是的，这玩意儿巨坑
--
FROM 59.109.152.*