Comandi secondari Docker che utilizzano sudo
Una soluzione è fornire loro i comandi di finestra mobile selezionati utilizzando sudo
e non fornire il comando docker attach
o docker run
.
Puoi limitarli a eseguire solo docker ps
Vedi la documentazione o la pagina man di sudo
per come fornire solo i sottocomandi che vuoi consentire agli utenti. Fornire comunque l'accesso alla finestra mobile utilizzando sudo
è comunque il metodo consigliato, invece di mettere subito gli utenti in un gruppo mobile.
Esempio:
Esegui visudo
o crea un file sotto /etc/sudoers.d/<username>
e crea una linea per ogni comando che devi consentire: (questo è un po 'approssimativo, in produzione suppongo che tu gestirai sudo config usando qualche strumento di gestione della configurazione come puppet
, chef
o ansible
che farà questo per te una volta che scrivi il codice di configurazione)
<user_account> ALL=(root) NOPASSWD: /usr/bin/docker ps
Ulteriori dettagli:
Dettagli
Nota: ho avuto un caso d'uso in cui un utente bot automatizzato aveva bisogno solo del comando di estrazione docker, quindi ho limitato l'account per eseguire il comando docker solo tramite sudo. Questo approccio si assicura: