Демон Docker работает от имени root. Когда мы добавим пользователя в группу Docker, он может запустить любой контейнер докеров даже в привилегированных контейнерах. Это, по-видимому, серьезная проблема безопасности.Ограничение пользователей в группе Docker, чтобы не запускать привилегированные контейнеры
Есть ли способ ограничить некоторые пользователи в группе Docker, чтобы не было возможности запуска привилегированных контейнеров?
В настоящее время нет способа ограничить доступ к привилегированным контейнерам. Вот почему, например, Fedora отказала группе docker (поскольку предоставление доступа к докеру фактически равносильно предоставлению доступа к безлимиту sudo).
Если вы хотите предоставить «докер-а-сервис», вы, вероятно, захотите поставить что-то вроде перед ним, например Kubernetes, что обеспечивает только косвенный доступ к API Docker и может быть настроено на разрешение или запрет использование привилегированных контейнеров.
Многие пользователи Docker являются соблюдение и ограничение SELinux путем изменения домена пользователей Докер «SecurityContext»
Это может быть проще написать REST прокси для API Докер, чем установить Kubernetes. – Andy
Конечно, если писать прокси-сервер REST проще, чем использовать какое-то готовое программное обеспечение (и это может быть, это зависит от развертывателя). Интересно, есть ли, возможно, уже прокси-сервер фильтрации REST, доступный там ... – larsks