描述
Docker 守護進程需要 'root' 權限。對於添加到 'docker' 組的用戶被提供了擁有完整的 'root' 訪問權限。
安全出發點
Docker 允許在 Docker 主機和訪客容器之間共享目錄,而不會限制容器的訪問權限。這意味着可以啓動容器並將主機上的 / 目錄映射到容器。容器能夠不受任何限制地更改主機文件系統。簡而言之,這意味着只需作爲 'docker' 組的成員即可獲得較高的權限,然後在主機上啓動具有映射 / 目錄的容器。
審計方法
在 Docker 主機上執行以下命令,並確保只有可信用戶是 docker 組的成員。
getent group docker
結果判定
判斷是否必須要加入 docker 組的用戶
修復措施
從 'docker' 組中刪除任何不受信任的用戶。另外,請勿在主機上創建敏感目錄到容器卷的映射。
影響
作爲普通用戶構建和執行容器的權限將受到限制
默認值
不適用