最近,我开始使用 docker 作为我实验室的服务器。该服务器是安装了 Ubuntu 服务器 18.04 的 Linux 服务器。用户的登录验证使用 Windows Active Directory (AD)。我当前运行非 root docker 的解决方案是将用户添加到docker组(ref)。
但是,我发现了一个严重的安全问题。AD 用户A可以B通过docker run -u B's uid:B's gid. 在容器中,A可以得到所有B的许可。
运行非root docker的正确方法可能是新引入的' Rootless mode ',问题是rootless模式需要newuidmap和newgidmap,但是/etc/passwd和/etc/subuid等中没有列出AD用户,这意味着无根模式和userns-remap模式不能用于我的情况(即 AD auth)。
有什么方法可以解决这个问题吗?非常感谢。
最好的。