¿Cómo evitar que varios usuarios conecten un contenedor docker?

Si un usuario en un host de Docker Engine tiene derechos para ejecutar comandos de la ventana acoplable (ya sea por tener privilegios de sudo, o pertenencia al grupo de la ventana acoplable) no hay forma (con el producto base de Docker) de restringirlos para que no se conecten a los contenedores en ejecución en el host

Proporcionar de forma efectiva el acceso a la ventana acoplable es lo mismo que proporcionar una raíz en el host.

Por lo tanto, para evitarlo, la clave es no permitir que otros usuarios tengan derechos para ejecutar los comandos de la ventana acoplable en ese host.

Docker Sub comandos utilizando sudo

Una solución es proporcionarles los comandos de ventana acoplable seleccionados utilizando sudo y no proporcionar el comando docker attach o docker run .

Puede restringirlos para que se ejecuten solo docker ps

Consulte la documentación o la página de manual de sudo para saber cómo proporcionar solo los subcomandos que desea permitir a los usuarios. Proporcionar acceso a la ventana acoplable utilizando sudo es el método recomendado de todos modos, en lugar de colocar a los usuarios en un grupo de la ventana acoplable de inmediato.

Ejemplo :

Ejecute visudo o cree un archivo bajo /etc/sudoers.d/<username> y cree una línea para cada comando que necesite permitir: (esto es un poco aproximado, en producción, supongo que administrará sudo config usando alguna herramienta de administración de configuración como puppet , chef o ansible que hará esto por usted una vez que escriba el código de configuración)

<user_account> ALL=(root) NOPASSWD: /usr/bin/docker ps

Más detalles:

Detalles

Nota: tuve un caso de uso en el que un usuario de bot automatizado solo necesitaba el comando de extracción de la ventana acoplable, por lo que solo restringí esa cuenta para ejecutar la extracción de la ventana acoplable solo a través de sudo. Este enfoque asegura:

• disponibilidad (proporcione lo que sea necesario)

• principio de privilegio mínimo