Docker 组成员身份比sudo更危险
Docker 守护进程具有setUID root ,并且在设计上允许以 root身份轻松访问主机文件系统。这使得恶意用户读取和更改敏感系统文件或粗心的用户允许恶意容器化应用程序这样做变得微不足道。访问 Docker 命令有效地授予了完全的根权限。
此外,Docker 没有任何等同于sudo密码检查的功能,这意味着针对docker组中的用户成功执行任意代码攻击有效地授予了攻击者 root 权限。因此,更安全的选择是永远不要将用户帐户(即使是您自己的)添加到docker组,这样 Docker 命令只能通过sudo使用。
