一个 docker 用户可以向另一个用户隐藏数据吗？

Alice 和 Bob 都是同一主机上 docker 组的成员。 Alice 想要在 Docker 容器中运行一些长时间运行的计算，然后将结果复制到她的主文件夹中。 Bob 非常爱管闲事，Alice 不希望他能够读取她的计算所使用的数据。

系统管理员可以采取什么措施来阻止 Bob 进入 Alice 的 docker 容器吗？

以下是我认为 Alice 应该如何从她的容器中获取数据的方式，基于命名卷和docker cp command，如中所述这个问题 and this one.

$ pwd
/home/alice
$ date > input1.txt
$ docker volume create sandbox1
sandbox1
$ docker run --name run1 -v sandbox1:/data alpine echo OK
OK
$ docker cp input1.txt run1:/data/input1.txt
$ docker run --rm -v sandbox1:/data alpine sh -c "cp /data/input1.txt /data/output1.txt && date >> /data/output1.txt"
$ docker cp run1:/data/output1.txt output1.txt
$ cat output1.txt
Thu Oct  5 16:35:30 PDT 2017
Thu Oct  5 23:36:32 UTC 2017
$ docker container rm run1
run1
$ docker volume rm sandbox1
sandbox1
$ 

我创建一个输入文件，input1.txt和一个命名卷，sandbox1。然后我启动一个名为的容器run1这样我就可以将文件复制到指定的卷中。该容器仅打印一条“OK”消息并退出。我复制输入文件，然后运行主要计算。在此示例中，它将输入复制到输出并为其添加第二个时间戳。

计算完成后，我复制输出文件，然后删除容器和指定卷。

有没有什么方法可以阻止 Bob 加载他自己的容器，该容器安装指定的卷并向他显示 Alice 的数据？我已经设置了 Docker 来使用用户命名空间，因此 Alice 和 Bob 没有主机的 root 访问权限，但我不知道如何使 Alice 和 Bob 使用不同的用户命名空间。

Alice 和 Bob 已被授予对主机的虚拟根访问权限docker group.

The docker组通过套接字文件授予他们访问 Docker API 的权限。目前 Docker 中没有任何工具可以区分 Docker API 的用户。 Docker 守护进程以 root 身份运行，并且凭借 Docker API 允许的功能，Alice 和 Bob 将能够解决您尝试设置的任何障碍。

用户命名空间

使用用户命名空间隔离停止用户inside容器以特权或不同用户身份脱离容器，因此实际上容器进程现在以非特权用户身份运行。

一个例子是

• Alice 被授予对在namespace_a 中运行的容器A 的ssh 访问权限。
• Bob 被授予对namespace_b 中容器B 的ssh 访问权限。

由于用户现在仅位于容器内，因此他们将无法修改主机上彼此的文件。假设如果两个容器映射相同的主机卷，则没有全局读/写/执行的文件将不会受到其他容器的影响。由于他们无法控制守护进程，所以他们无法采取任何行动来突破。

Docker 守护进程

命名空间并不保护 Docker 守护进程和 API 本身，这仍然是一个特权进程。围绕用户名称空间的第一种方法是在命令行上设置主机名称空间：

docker run --privileged --userns=host busybox fdisk -l

The docker exec, docker cp and docker export命令将向有权访问 Docker API 的人员提供任何已创建容器的内容。

限制 Docker 访问

可以限制对 API 的访问，但不能让用户在docker group.

允许有限的一组docker命令通过sudo或提供sudo访问对 docker 参数进行硬编码的脚本：

#!/bin/sh
docker run --userns=whom image command

对于自动化系统，可以通过附加的 shim API 提供访问权限，并在 Docker API 前面进行适当的访问控制，然后将“受控”请求传递给 Docker。dockerode or docker-py可以轻松插入 REST 服务并与 Docker 交互。