在Fedora中如何授予权限给用户使用Docker，fedoradocker

在Fedora中如何授予权限给用户使用Docker

本文翻译自Daniel J Walsh的一篇开源文章：http://opensource.com/business/14/10/docker-user-rights-fedora
在Docker-dev邮件列表，有人问有关描述了如何将用户添加到Docker组的Fedora文档。用户希望让他的用户做一个Docker搜索，试图找到他们可以使用的镜像。

从有关Fedora的docker安装文档：

授予用户权限的使用Docker

Fedora的19和20随Docker0.11。如果你还在使用0.11版本的包已经更新到1.0的Fedora20，您将需要授予权Docker的用户。

docker命令行工具，通过接触被一群Docker拥有的套接字文件/var/run/docker.sockdocker守护进程。其中一个必须是该组的成员，以便联系docker-d进程。

幸运的是，这个文件是有点错了，你还需要将用户添加到Docker组，以便他们使用Docker从非root帐户。我希望所有的发行有这样的政策。

在Fedora和RHEL我们对docker.sock以下权限：

# ls -l /run/docker.sock
 srw-rw----. 1 root docker 0 Sep 19 12:54
 /run/docker.sock

这意味着，只有Docker组中的root用户或用户可以向此套接字。此外，由于Docker运行asdocker_t，SELinux的防止全密闭域连接到此docker.sock。

从Docker无授权控制

Docker目前没有任何授权控制。如果你可以跟docker插座或Docker监听网络端口上，你可以谈论它，你可以执行所有Docker命令。

例如，如果我添加“dwalsh”的Docker组我的机器上，我可以执行。

> docker run -ti --rm --privileged --net=host -v /:/host fedora /bin/sh
 # chroot /host

在这一点上你，或具有这些权限的任何用户，都有你的系统上完全控制。

将用户添加到该Docker组应被视为一样加入：

USERNAME= ALL（ALL）NOPASSWD：ALL

到/ etc/ sudoers文件。用户运行任何应用程序在他的机器上能够成为root，即使没有他知道。我相信，一个更好更安全的解决方案是编写脚本，允许用户要允许访问。

cat /usr/bin/dockersearch
 #!/bin/sh
 docker search $@

然后设置sudo：

USERNAME ALL=(ALL) NOPASSWD: /usr/bin/dockersearch

我希望最终加入某种授权数据库来Docker，让管理员可以配置哪些命令，你会允许用户执行，以及容器中，你可能会允许他们开始/停止。

首先消除执行Docker运行--privileged或Docker运行--cap，删除是在正确的方向迈出了一步的能力。但是，如果你看过我的其他职位，你知道，需要更多的工作要做，以使容器中包含。

作者最初发布的www.projectatomic.io为“授予用户权限在Fedora中使用Docker。”。

本文翻译自Daniel J Walsh的一篇开源文章：http://opensource.com/business/14/10/docker-user-rights-fedora