Докер-машина с "универсальным" драйвером: проблемы безопасности

Question

Докер-машина с "универсальным" драйвером: проблемы безопасности

Я хочу использовать docker-machine для развертывания контейнеров на сервере Debian 9 с моего локального компьютера.

Я следовал инструкциям на этой странице, где четко указано:

Если вы используете "sudo" на хосте, убедитесь, что вы сконфигурировали sudo без пароля:
# visudo
%sudo   ALL=(ALL) NOPASSWD:ALL

Кроме того, докерская документация для generic Драйвер докер-машины упоминает то же самое:

Судо привилегии
Пользователь, который используется для SSH в хост, может быть указан с --generic-ssh-user флаг. Этому пользователю нужны привилегии sudo без пароля. Если это не так, вам нужно отредактировать sudoers файл и настроить пользователя как sudoer с NOPASSWD

Я не эксперт, но я чувствую, что что-то здесь не так... Разве не позволяет пользователю на рабочем сервере выполнить какую-либо команду без пароля, чтобы открыть брешь в безопасности? Или я что-то упустил?

3

security docker sudo docker-machine

Источник

Antwane 19 июн '18 в 09:46

1 ответ

Решение

Другие вопросы по тегам security docker sudo docker-machine

Antwane 02 окт '18 в 13:44 2018-10-02 13:44 · Accepted Answer · 2018-10-02 13:44

Через 3 месяца, я думаю, у меня есть ответ на свой вопрос. Похоже, что конфигурация без пароля необходима только тогда, когда производственный сервер впервые зарегистрирован в Docker-машине.

Однажды команда docker-machine create --driver generic [...] был успешно введен, docker-machine может подключиться к удаленному хосту с помощью сокета на порту 2376, и sudo больше не используется на рабочем сервере.

Другими словами, конфигурация sudo без пароля должна присутствовать на сервере несколько секунд и может быть отключена позже.