私がUbuntuシステムを持っているとしましょうsudo apt install docker.io。端末アクセス権を持つ人は、誰でもrootにエスカレーションできるようにシステムに大きなセキュリティホールを設定しましたか?
どのディレクトリでもコンテナ内のボリュームにマウントでき、コンテナ内のルートディレクトリに昇格でき、マウントされたボリュームで欲しいものは何でもできると思います。これらすべてが間違っているようで、何か欠けているような気がします。それとも、単純でUbuntuリポジトリにパスワードを持たない「sudo」の代替手段は実際にありますか?
ベストアンサー1
正確ではありませんが、dockerグループ内の誰もがrootにアップグレードできるようにします。これは/usr/share/doc/docker.io/README.Debian:
アップストリーム文書に記載されているように(https://docs.docker.io)、Dockerは「docker」グループの非ルートユーザーが「docker.sock」にアクセスしてデーモンと通信できるようにします。 「docker」グループに自分自身を追加するには、次のコマンドを使用します。
adduser YOURUSER dockerアップストリームドキュメントに記載されているように、「docker」グループ(およびDocker APIにアクセスする他の方法)はルートと同じです。マシンがroot権限を持つユーザーを信頼していない場合、Dockerはそのユーザーを信頼しないでください。 Dockerセキュリティに関する追加情報に興味がある場合は、アップストリームドキュメントの「Dockerセキュリティ」ドキュメントをお読みください。
同等のルートを必要とせずに(ほとんどの)OCIコンテナを実行することに興味がある場合は、次の点を確認してください。ボードマン。