Я только начал новую работу и напрямую столкнулся с проблемами с ребятами, работающими с нашими серверными фермами (компания довольно большая). Я привык использовать докер и хотел бы, чтобы это продолжалось с продуктами, которые я разрабатываю.
В качестве требования я сказал этим ребятам, что мне нужен демон Docker для запуска от имени пользователя root. Серверные ребята только что сказали мне, что они не будут поддерживать наши машины, если мы запустим стороннее программное обеспечение от имени пользователя root. По этому поводу нет никаких споров. Период.
Но они сказали мне, что если бы мы могли использовать sudo и ограничить права sudo до абсолютного минимума, это было бы решением.
известно ли что-нибудь, как я могу справиться с этим или обойти это догматическое правило «мне нужен root»?
Нет.
Демон Docker должен работать от имени пользователя root. Как только часть программного обеспечения запускается от имени пользователя root, у него есть все права доступа root. Что-то вроде sudo dockerdaemon по-прежнему дает Docker все эти права. Именно поэтому большинство людей ограничивают sudo от запуска интерактивных оболочек или программного обеспечения, например vim который может запускать произвольные внешние команды. Root-доступ - это root-доступ.