LINUX.ORG.RU

История изменений

Исправление firkax, (текущая версия) :

Чтобы были права на докер, достаточно иметь права на подключение к его сокету. Все его cli утилиты только отправляют команды в него, сами по себе они никаких прав не требуют. У сокета g+w права и группа docker, соответственно надо добавить юзера в эту группу, чтобы выдать ему доступ. Но, повторюсь, с точки зрения безопасности это эквивалентно выдаче полных рут-прав.

Сейчас уже не помню точно, но кажется у них не было прав на все действия от Docker, только на ограниченный список команд.

Доступ к docker run достаточен чтобы запустить привилегированный контейнер. Доступ к docker-compose - тоже (достаточно privileged: true в yaml-конфиге прописать). Так что без подробного анализа запроса (а не только регулярки по тексту командной строки) не обойтись.

Исправление firkax, :

Чтобы были права на докер, достаточно иметь права на подключение к его сокету. Все его cli утилиты только отправляют команды в него, сами по себе они никаких прав не требуют. У сокета g+w права и группа docker, соответственно надо добавить юзера в эту группу, чтобы выдать ему доступ.

Сейчас уже не помню точно, но кажется у них не было прав на все действия от Docker, только на ограниченный список команд.

Доступ к docker run достаточен чтобы запустить привилегированный контейнер. Доступ к docker-compose - тоже (достаточно privileged: true в yaml-конфиге прописать). Так что без подробного анализа запроса (а не только регулярки по тексту командной строки) не обойтись.

Исправление firkax, :

Чтобы были права на докер, достаточно иметь права на подключение к его сокету. Все его cli утилиты только отправляют команды в него, сами по себе они никаких прав не требуют. У сокета g+w права и группа docker, соовтетственно надо добавить юзера в эту группу, чтобы выдать ему доступ.

Сейчас уже не помню точно, но кажется у них не было прав на все действия от Docker, только на ограниченный список команд.

Доступ к docker run достаточен чтобы запустить привилегированный контейнер. Доступ к docker-compose - тоже (достаточно privileged: true в yaml-конфиге прописать). Так что без подробного анализа запроса (а не только регулярки по тексту командной строки) не обойтись.

Исходная версия firkax, :

Чтобы были права на докер, достаточно иметь права на подключение к его сокету. Все его cli утилиты только отправляют команды в него, сами по себе они никаких прав не требуют. У сокета g+w права и группа docker, соовтетственно надо добавить юзера в эту группу, чтобы выдать ему доступ.

Сейчас уже не помню точно, но кажется у них не было прав на все действия от Docker, только на ограниченный список команд.

Доступ к docker run достаточен чтобы запустить привилегированный контейнер. Доступ к docker-compose - тоже (достаточно privileged: true в yaml-конфиге прописать).