创建于20170306

本章小目标

• docker exec 权限控制

参考链接

http://jonaskunze.com/restrict-user-to-its-own-container-using-docker/

1，前言

docker容器权限，默认都是用root来启动的。如果一台机器上启动了不同用户的容器。而任何一个在docker组中的登录用户，又都可以进入到当前机器的任何运行中的容器。显然，不符合权限隔离的需求。
例如，docker ps 看到有A,B两个容器，A是aa用户的，B是bb用户的，但是aa却可以通过docker exec进入B容器。

2，解决方案

通过设置用户的默认登录shell来进行控制

groupadd jl
useradd -d /home/jl -g jl -G docker -m jl 
# id jl   #jl用户已经在docker组中，权限非常大
uid=1000(jl) gid=1000(jl) groups=1000(jl),999(docker)

下面修改jl用户的登录shell，使其只可以进入dao_jl_stock_1容器

touch /usr/local/bin/docker_shell_jl
chmod +x /usr/local/bin/docker_shell_jl

#编写登录脚本的内容
cat /usr/local/bin/docker_shell_jl 
######
echo "hi jianglong1, welcom to container named dao_jl_stock_1!!!"
######
docker exec -ti dao_jl_stock_1 /bin/bash

sh   -c   "echo '/usr/local/bin/docker_shell_jl' >> /etc/shells"
cat /etc/shells 

#修改登录默认shell
chsh -s /usr/local/bin/docker_shell_jl jl

#检查修改结果
cat /etc/passwd
jl:x:1000:1000::/home/jl:/usr/local/bin/docker_shell_jl

好了，在OS中登录jl用户，已经进入到容器中，jl将只对自己的容器拥有root权限。

# su - jl
hi jianglong1, welcom to container named dao_jl_stock_1!!!