Это немного старая тема, но самый чистый способ перечислить только файлы.
ls -al | grep '^-' | awk '{print $9}'
Нет. Наличие установленного Docker не позволяет никому использовать его по умолчанию.
$ docker info
Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get http://%2Fvar%2Frun%2Fdocker.sock/v1.39/info: dial unix /var/run/docker.sock: connect: permission denied
Как обычный пользователь, вы не имеете права даже подключаться к демону Docker, не говоря уже о том, чтобы указать ему запустить что-то в контейнере.
С другой стороны, любой пользователь, входящий в группу docker
, фактически имеет права суперпользователя на хосте. Очень сложно разрешить пользователям создавать контейнер Docker без предоставления им полномочий root на хосте. Вы можете разрешить пользователям запускать приложение в контейнере Docker, если контейнер настроен безопасно. Безопасная конфигурация не должна предоставлять доступ к каким-либо конфиденциальным файлам на хосте и должна включать директиву USER
, которая не предоставляет root-доступ внутри контейнера. (Предотвратить выход root из контейнера возможно, но сложно.)
«Замена sudo» — это adduser alice docker
или наличие alice ALL = ( : docker) docker
в /etc/sudoers
, а не просто установка docker.io
.
Да, но, возможно, не так плохо, как вам кажется. Как вам сказали другие ответы, существуют некоторые элементы управления доступом, так что он не дает права root произвольным локальным пользователям (только тем, кто находится в списке доступа ), но это все еще большая проблема. Docker не является песочницей , по крайней мере, в стандартной конфигурации.
Если вы можете, вы должны прочитать и рассмотреть возможность использования безрутового Docker или, по крайней мере, использования режима переназначения пользователей -. Их можно сделать похожими на песочницу -, и если настроить их с некоторой осторожностью, не позволяйте произвольным пользователям с доступом к Docker получать права root на хосте (, по крайней мере, без других локальных уязвимостей ).