Docker-Container als Benutzer ohne Rootberechtigung ausführen?

603
memorableUserNameHere

Gibt es eine Möglichkeit für Benutzer ohne Rootzugriff, einen Docker-Container auszuführen?

Um nicht klar zu sein, frage ich nicht, ob ich einen Benutzer in dem Container erstellen kann, der nicht als Root ausgeführt wird. Vielmehr muss ich wissen, ob und wie ein Benutzer ohne Root- oder Root-ähnliche Berechtigungen überhaupt einen Docker-Container ausführen kann.

Ich untersuche einige Wege, um schwer zu bauende Forschungs- / akademische Software zu vertreiben, und Docker wurde bereits mehrmals vorgeschlagen. Ein Hauptproblem für mich ist, dass nur das Ausführen von Docker-Containern Root-Berechtigungen erfordert, was für einige Benutzer ein Problem darstellen kann.

Ich habe mindestens eine Stunde Google-Fu-ing geleistet:

  • Diese Quellen ( 1, 2, 3 ) sprechen über das Erstellen von Benutzern mit Containern, die kein Root-Privileg haben, aber ich glaube nicht, dass dies einem Benutzer ohne Rootberechtigung das Ausführen von Containern ermöglicht.

  • Diese Quellen ( 4, 5 ) beziehen sich auf die Docker-Gruppe, beachten Sie jedoch, dass die Docker-Gruppe root-äquivalent ist. Dies beeindruckt mich als außerordentlich gefährlich, ganz zu schweigen von Sinnlosigkeit und würde von unseren Administratoren aus rechtlichen Gründen niemals zugelassen.

  • Diese Quellen ( 6 ) sprechen von Namensabständen, aber ich habe nicht genug Erfahrung mit dem Docker, um zu wissen, ob es das ist, wonach ich suche.

1

2 Antworten auf die Frage

0
canit0

The Red Hat peeps are working with cri-o to run Linux containers without using Docker.

http://www.projectatomic.io/blog/2017/07/unprivileged-containers-with-bwrap-oci-and-bubblewrap/

-1
canit0

Hast du in Luftpolsterfolie nachgesehen?

https://github.com/projectatomic/bubblewrap

Die Red Hat-Peeps arbeiten mit cri-o, um Linux ohne Docker auszuführen.

Verwandte Probleme