Debian Docker 權限如何設置

在 Debian 系統中使用 Docker 時，權限設置是一個重要的安全考慮因素。以下是一些常見的權限設置方法：

1. 使用 sudo 運行 Docker 命令

默認情況下，只有 root 用戶才能運行 Docker 命令。如果你希望普通用戶也能運行 Docker 命令，可以將該用戶添加到 docker 組中。

# 將用戶添加到 docker 組
sudo usermod -aG docker your_username

# 重新登錄以使更改生效
newgrp docker

2. 配置 Docker 守護進程

你可以通過編輯 Docker 的配置文件來調整守護進程的權限和行為。

編輯 Docker 守護進程配置文件

默認情況下，Docker 守護進程的配置文件位于 /etc/docker/daemon.json。你可以在這里添加或修改配置。

{
  "debug": true,
  "log-level": "info",
  "storage-driver": "overlay2",
  "insecure-registries" : ["myregistry.example.com:5000"]
}

重啟 Docker 守護進程

修改配置文件后，需要重啟 Docker 守護進程以使更改生效。

sudo systemctl restart docker

3. 使用 Docker Compose

如果你使用 Docker Compose 來管理容器，可以在 docker-compose.yml 文件中設置權限和資源限制。

version: '3'
services:
  web:
    image: nginx:latest
    ports:
      - "80:80"
    user: "1000:1000"  # 設置運行容器的用戶和組
    deploy:
      resources:
        limits:
          cpus: '0.5'
          memory: 512M

4. 使用 SELinux 或 AppArmor

如果你在啟用了 SELinux 或 AppArmor 的系統上運行 Docker，可以進一步配置這些安全模塊來限制 Docker 容器的權限。

SELinux

你可以使用 semanage 和 setsebool 命令來管理 SELinux 策略。

# 允許 Docker 容器訪問網絡
sudo setsebool -P docker_connect_any 1

# 允許 Docker 容器掛載文件系統
sudo setsebool -P docker_enable_host_cgroup 1

AppArmor

AppArmor 是一個 Linux 內核安全模塊，可以用來限制容器的權限。你可以為特定的容器配置 AppArmor 配置文件。

# 啟用 AppArmor
sudo aa-enforce /etc/apparmor.d/docker

5. 使用防火墻

確保你的防火墻配置允許 Docker 容器的網絡通信。

# 允許 Docker 容器訪問外部網絡
sudo ufw allow in on docker0 to any port 2375 proto tcp

通過以上方法，你可以在 Debian 系統中有效地設置和管理 Docker 的權限，確保系統的安全性和穩定性。