Docker在CentOS上的權限設置主要包括以下幾類:
1. 用戶與組權限管理
默認情況下���,Docker守護進程以root身份運行�����,直接執行Docker命令需root權限�。為方便非root用戶使用��,可通過創建docker組并添加用戶實現權限下放:
- 創建docker組:使用
sudo groupadd docker命令創建名為docker的系統組�����;
- 添加用戶到docker組:將需要使用Docker的用戶(如
$USER或具體用戶名)添加到docker組�,命令為sudo usermod -aG docker USER(-aG表示追加到組��,避免移除原有組)�;
- 使變更生效:執行
newgrp docker或重新登錄用戶�,無需重啟系統即可識別組權限���;
- 重啟Docker服務:部分場景需重啟服務使組變更生效��,命令為
sudo systemctl restart docker�。
2. 容器運行時權限控制
通過Docker命令參數限制或擴展容器權限�����,平衡功能需求與安全性:
- 指定運行用戶:使用
--user $UID:$GID參數讓容器以宿主機指定用戶/組身份運行(如docker run -d --user $(id -u):$(id -g) my-image)�,避免容器內進程擁有root權限��;
- 特權模式:使用
--privileged=true參數賦予容器幾乎所有宿主機權限(如訪問設備�����、修改內核參數)��,但會嚴重降低安全性��,僅用于調試或特殊場景�����;
- 能力(Capability)管理:通過
--cap-add添加容器所需的最小權限(如NET_ADMIN用于網絡配置)�����,或--cap-drop移除不必要的權限(如SYS_ADMIN)�����,替代全特權模式����,提升安全性���。
3. SELinux配置(若啟用)
SELinux是CentOS的強制訪問控制模塊���,默認開啟時會限制Docker容器對宿主機資源的訪問�,需通過以下方式調整:
- 啟用SELinux:編輯
/etc/selinux/config文件��,確保SELINUX=enforcing(未注釋)���;
- 設置SELinux布爾值:使用
setsebool命令調整相關策略��,如允許容器訪問宿主機的home目錄(sudo setsebool -P docker_enable_home true)����、允許容器訪問網絡(sudo setsebool -P httpd_can_network_connect 1)���;
- 自定義SELinux策略:若容器操作被SELinux拒絕�����,可通過
audit2allow工具生成自定義策略����。例如�,從/var/log/audit/audit.log中提取拒絕日志��,執行grep docker /var/log/audit/audit.log | audit2allow -M mydocker生成策略模塊����,再用semodule -i mydocker.pp安裝�����。
4. 防火墻限制
通過防火墻(firewalld或iptables)限制對Docker守護進程及容器的訪問���,防止未授權訪問:
- firewalld配置:將Docker接口(
docker0)添加到trusted區域(信任所有流量)�����,命令為sudo firewall-cmd --permanent --zone=trusted --add-interface=docker0���,然后重載防火墻(sudo firewall-cmd --reload)�����;
- iptables配置:允許特定端口(如Docker API端口
2375)的訪問��,命令為sudo iptables -A INPUT -i docker0 -p tcp --dport 2375 -j ACCEPT�����,并保存規則(sudo service iptables save)����。
5. Docker守護進程配置
通過修改/etc/docker/daemon.json文件調整守護進程行為�����,增強權限安全性:
- 限制API訪問:默認僅允許本地通過Unix socket訪問(
unix:///var/run/docker.sock)����,若需遠程訪問�,可添加tcp://0.0.0.0:2375���,但需配合防火墻限制IP范圍��;
- 啟用用戶命名空間:添加
"userns-remapping": "default"���,將容器內root用戶映射到宿主機非root用戶�,隔離容器與宿主機的權限��,提升安全性�����;
- 其他配置:如設置日志驅動(
"log-driver": "json-file")�����、存儲驅動("storage-driver": "overlay2")等��,間接影響權限管理(如日志文件的訪問權限)����。
6. 定期更新維護
定期更新Docker守護進程����、容器鏡像及相關組件�����,修復已知安全漏洞��,減少權限被濫用的風險:
- 更新Docker軟件包:使用
sudo yum update docker-ce docker-ce-cli containerd.io命令更新到最新版本��;
- 更新容器鏡像:通過
docker pull imageName:latest拉取鏡像最新版本���,或在docker-compose.yml中指定鏡像版本(如image: nginx:1.25-alpine)���。
