为什么我们不允许非root用户在CentOS、Fedora和RHEL上直接运行Docker命令

本文讲的是<b>为什么我们不允许非root用户在CentOS、Fedora和RHEL上直接运行Docker命令</b>，【编者的话】容器技术最大的弱点是安全性不足，Docker也不例外。因此，如何加强Docker的安全性是每一个Docker用户必须慎重考虑的问题。这篇文章介绍了不用sudo而直接运行Docker命令所存在的安全漏洞，并强烈建议通过设置sudo规则作为暂时的解决方法。

我经常会收到用户反馈的Bug，他们问我们『为什么默认情况下不能使用非root用户直接运行Docker命令』。

Docker能够将<code>/run/docker.socket</code>的文件访问权限设为660，并将其所属的用户组设为<code>docker</code>。 这使得非root用户只要加入<code>docker</code>用户组，就无需使用<code>sudo</code>，或者通过<code>su</code>命令切换到root用户的情况下运行Docker命令。这听起来很不错。

但是，在RHEL、Fedora和CentOS上，我们更喜欢将<code>doker.socket</code>设置为:

为什么呢？原因很简单：如果用户可以与Docker Socket通信，他们就能够执行以下命令:

这时用户将拥有主机的完全控制权。这就相当于将sudoers文件修改为以下内容（译者注：dwalsh为用户名）：

这将允许（dwalsh）用户无密码运行所有命令，获得主机的完全控制权。但是这有一个很大的安全漏洞。Docker命令没有内置的审计和日志功能，但是sudo有。

Docker目前会记录事件，但是Docker daemon重启时事件会消失。Docker目前没有审计功能。

如果你希望非root用户能够直接执行Docker命令，我们推荐通过设置sudo规则来实现。下面是设置Docker规则的简单教程。

在<code>/ect/sudoers</code>中添加以下内容: [译者注：使用visudo命令修改]

这允许特定用户无需密码直接执行Docker命令。

注意：我并不推荐使用NOPASSWD，这可能会导致你的系统中的任意进程都能获取root权限。如果你要求使用密码，则用户在运行Docker命令时需要输入密码，这将使得系统稍微安全一点。如果执行命令时输入了一次密码，则sudo将允许你在5分钟内再次运行Docker命令时不再需要输入密码。

紧接着，为Docker命令设置别名。

现在，非root用户将被允许直接执行Docker命令（译者注：不需要使用sudo），并且记录了日志。

查看journal日志或者/var/log信息：

查看审计日志：

如果你打算只允许用户访问一个特定的容器，你可以写一个简单的脚本:

写好脚本之后，配置sudoers：

这个用户将仅能在没有权限限制下运行Fedora容器。

如果需要支持非root用户直接运行Docker命令之前，那Docker Daemon的安全性还需要很多改进。但在这些改进实现之前，设置sudo规则是最好的选择。我们正在开发更好的解决方案，暂时我们仍然强烈推荐使用sudo。。

========================================

译者介绍：

原文发布时间为：2015-08-15

本文作者：KiwenLau 

本文来自云栖社区合作伙伴DockerOne，了解相关信息可以关注DockerOne。

原文标题：为什么我们不允许非root用户在CentOS、Fedora和RHEL上直接运行Docker命令