怎么在Fedora中为用户授予使用Docker的权限

小编给大家分享一下怎么在Fedora中为用户授予使用Docker的权限，相信大部分人都还不怎么了解，因此分享这篇文章给大家参考一下，希望大家阅读完这篇文章后大有收获，下面让我们一起去了解一下吧！

为用户授予使用Docker的权限

Fedora 19和20随带Docker 0.11。该软件包在Fedora 20中已经被更新到了1.0版本。如果你眼下仍使用使用0.11版本，就需要将权限授予Docker用户。

docker命令行工具通过用户组docker拥有的套接字文件/var/run/docker.sock，联系docker守护进程。某个用户必须是该用户组的成员，才能联系docker -d进程。

幸好，该说明文档有点错误，你仍需要将用户添加到docker用户组，才能让这些用户通过非root帐户使用docker。但愿所有发行版都有这条政策。

在Fedora和RHEL上，我们对docker.sock拥有下列权限：

# ls -l /run/docker.sock

srw-rw----. 1 root docker 0 Sep 19 12:54

/run/docker.sock

这意味着，只有root用户或docker用户组中的用户才能与该套接字进行对话。另外由于docker运行asdocker_t，SELinux防止所有被限制的域连接到该docker.sock。

docker没有授权控制机制

docker目前没有任何的授权控制机制。如果你能与docker套接字进行对话，或者docker侦听某个网络端口，你能与之对话，就可以执行所有的docker命令。

比如说，如果我在自己的电脑上将“dwalsh”添加到docker用户组，就可以执行：

> docker run -ti --rm --privileged --net=host -v /:/host fedora /bin/sh

# chroot /host

这时，你或者拥有这些权限的任何用户都完全控制你的系统。

将用户添加到docker用户组应该被认为与将USERNAME ALL=(ALL) NOPASSWD: ALL添加到/etc/sudoers文件一样。用户在其电脑上运行的任何应用程序都可以成为root，甚至在用户不知情的情况下。我认为，一种更安全的解决办法就是编写脚本，允许你想允许访问的用户有权访问。

cat /usr/bin/dockersearch

#!/bin/sh

docker search $@

然后使用下面这个命令创建sudo：

USERNAME ALL=(ALL) NOPASSWD: /usr/bin/dockersearch

我希望最终将某一种授权数据库添加到docker，以便管理员们可以配置你允许用户执行哪些命令、允许用户开启/停止哪些容器。

正确的***步将是，先消除执行docker run --privileged或docker run --cap-remove的功能。

以上是“怎么在Fedora中为用户授予使用Docker的权限”这篇文章的所有内容，感谢各位的阅读！相信大家都有了一定的了解，希望分享的内容对大家有所帮助，如果还想学习更多知识，欢迎关注亿速云行业资讯频道！