这是一个创建于 1945 天前的主题,其中的信息可能已经有所发展或是发生改变。
服务器上多个用户,很多时候这些用户需要安装一些包,但我又不想直接给他们 root 权限,现在是打算给每个用户一个容器,然后容器里拥有 root 权限,让他们在容器里装自己需要的包。
有办法把用户限制在容器里,ssh 登录后直接进入自己的容器吗?
第 1 条附言 2020-06-15 15:25:13 +08:00
用户都是认识的人,并不打算考虑有心攻击的人,毕竟发现了可以真人 PK 。由于需要共享 GPU,所以可能虚拟机不太合适。
主要是因为每个用户需要搭建自己的环境,与其让他们乱加 apt 源,随意 sudo make install 把系统搞得乱七八糟,不如用 docker 隔离开来。
主要是因为每个用户需要搭建自己的环境,与其让他们乱加 apt 源,随意 sudo make install 把系统搞得乱七八糟,不如用 docker 隔离开来。
 | 1 whi147 2020-06-15 11:36:18 +08:00 via iPhone  1 我建议噢,用 kvm |
 | 2 cloudbeyond 2020-06-15 11:44:24 +08:00 听 1 楼的,Docker 不适用于你的场景 |
 | 3 rayhy 2020-06-15 11:45:40 +08:00 dockerfile 里面直接安装 sshd 呀,然后把 22 端口映射到外部随便一个端口比如 50001,用户直接 ssh root@ip -p 50001 。 docker 官方文档里面就有教程: https://docs.docker.com/engine/examples/running_ssh_service/ |
 | 4 cnt2ex OP |
 | 5 Ultraman 2020-06-15 12:59:00 +08:00 via Android 不想一人一个端口,那就给其他所有人一块开一个容器,随他们折腾。 |
 | 6 Osk 2020-06-15 13:02:44 +08:00 via Android lxc 如何? |
 | 7 yulgang 2020-06-15 13:14:44 +08:00 听 1 楼的 |
 | 8 singerll 2020-06-15 13:17:01 +08:00 via Android 我要是想装 docker 怎么办? |
 | 9 liuxu 2020-06-15 13:20:30 +08:00 1 楼说的没错,virtualbox 也适合,有 headless |
 | 10 joesonw 2020-06-15 13:20:47 +08:00 docker 只做资源隔离. docker 不管安全. 都可以装包了, root 不 root 有什么区别? 装个可以提权的包不就好了. |
 | 11 ETiV 2020-06-15 13:21:55 +08:00 via iPhone 如果需求只是安装包,给他们用 brew 现在支持 Linux 了 |
 | 12 Jirajine 2020-06-15 13:46:53 +08:00 via Android 1 docker 自带的 usermap 功能 |
 | 13 yuzunzhi 2020-06-15 14:00:03 +08:00 你的需求就是更适合用虚拟机解决,如楼上所说,各种虚拟化技术随便。 另外对于运维来说,不把 docker 用成虚拟机已经是个很低很低的底限了。 |
 | 14 dapang1221 2020-06-15 14:00:31 +08:00 docker 逃逸了解一下,根本防不住有心攻击的人 |
 | 15 baymax123456 2020-06-15 15:36:49 +08:00 @singerll docker on docker |
 | 17 dorothyREN 2020-06-16 01:12:53 +08:00 先安装好 docker,然后给每个用户的登录 shell 改成 docker exec -it {docker 实例} /bin/bash 理论上可行。 |
 | 18 fengdra 2020-06-16 01:56:44 +08:00 via Android 可以试试 rootless 容器,这样每个人可以单独开,不用统一配置 |
 | 19 widewing 2020-06-16 06:35:52 +08:00 via Android 用 lxc |
 | 20 LokiSharp 2020-06-16 09:22:10 +08:00 via iPhone CentOS 8 的 Podman 是 rootless 的,可以试试 |
 | 21 silentx 2020-06-16 15:30:22 +08:00 docker 直接 pull ubuntu 好了 先把 ssh start 起来 然后挂住 ip 用 docker 开 macvlan 每个 container 分配一个 ip 就好了 这样每个人都相当与有一台自己的 ubuntu 了 还都是 root |
 | 22 CodeCodeStudy 2020-06-16 16:59:44 +08:00 注意要限制资源的使用 --cpus -m --device-write-bps 我就碰到过没限制容器的 CPU 使用率,导致宿主机挂了的情况 |
 | 23 tomychen 2020-06-17 13:18:07 +08:00 chroot |
 | 24 yanqiyu 2020-06-17 17:01:42 +08:00 via Android 建议使用 podman 之类的 rootless 容器,实现可以参考 Fedora 提供的 toolbox 特性 1 )全程用户没有特权 2 )在容器中表现为 root 权限,可以正常安装软件,配置开发环境 3 ) proc 、home 等分区会正常挂载,保证使用体验无缝,如果是带图形的话 dbus 以及 X socket 也会处理 -------- 对于用户而言大家都不给 sudo,让他们使用 toolbox 进入自己的环境 -------- 因为是 rootless 容器,哪怕被橄榄权限也不会超过用户本来的权限,不会对于系统造成破坏 |
 | 25 wendellyih 2020-06-18 18:16:54 +08:00 @ETiV 这个方案可行,之前多个同事共享一台开发机时用的就是这个方案,现在都独立开发机了,就放飞自我了。 |
 | 26 solider245 2020-06-22 12:32:39 +08:00 @CodeCodeStudy 容器内的系统再使用 docker 的话,是和新安装 docker 一样吗? |
| 27 CodeCodeStudy 2020-06-22 17:28:54 +08:00 @solider245 没试过,应该装不了吧 |
Select Language