Hallo zusammen,
ich würde gerne eine Gruppe anlegen, die ausschließlich die Docker Container, Images managen kann.
Leider bin ich zu doof und bekomme das nicht hin.
Hat jemand ne Idee, wie das am besten geht?
Grüße
Arni
Moin,
was meinen Sie denn genau mit »managen«? Was genau sollen Mitglieder dieser Gruppe tun dürfen?
Gruß,
mosu
Hi,
“managen” heißt: Starten, Stoppen, Container hinzufügen, löschen, Logs anschauen …
Im Prinzip alles was man mit einem Container machen kann…
Danke und Grüße
Moin,
im aktuellen Stadium der Docker-Entwicklung bedeutet es ein großes Sicherheitsloch, wenn normale User docker laufen lassen dürfen. Dieser Blog-Post beschreibt das Problem anschaulich (Sie geben diesen Usern de facto volle Root-Rechte auf dem System).
Falls Sie Ihren Usern aber vertrauen und somit das Sicherheitsproblem ignorieren wollen: es gibt generell zwei Möglichkeiten, Nicht-Root-Usern das Ausführen von Docker-Geschichten zu erlauben: zum einen, indem die Gruppe des Docker-Sockets auf einen Wert wie »docker« gesetzt und die User dieser Gruppe hinzugefügt werden, zum anderen über »sudo«. Die Variante mit »sudo« hat zumindest noch den Charme, dass jegliche Aktion über das Syslog geloggt wird, und wenn Sie die Syslog-Meldungen auf einen zentralen Syslog-Server schicken lassen, so würden die lokalen Docker-User damit auch keinen Schabernack mehr treiben können. Daher rate ich stark zur Variante »sudo«. Wie das geht, ist im selben Blog-Post beschrieben.
Gruß,
mosu
vielen dank für die Info. Dann werden wir dies über sudo lösen!