0
私は、非rootユーザーアカウントを使用してログインするために、最小のCentOS/RedHat VMをスタッフに提供したいと考えています。私は、ソケットをchgrpingしてドッカーグループにアカウントを追加することで、ドッカー1.12 cliコマンドを実行するためのドッカーソケットをユーザーに提供しました。RedHat/CentOS Dockerのホストルートアクセスをコンテナ内から防ぐことはできますか?
TCP APIとこの問題のすべてのCaaS/PaaS製品をVM上に残すと仮定すると、SELinuxを使用して、seccompやLinuxの機能やGRSec/PAXを含む何かを操作することは可能ですか? Dockerコンテナを使用してDockerホスト上のrootユーザーにアクセスできないようにしますか?
This postは確定していないようです。
「本質的に」正確にはどういう意味ですか? – volvox
彼は絶対にそういう意味です。 Dockerソケットにアクセスできる場合(つまり、dockerを実行できますか?)、rootになります。 – johnharris85