Cómo hacer que Docker corra como el grupo docker

Docker recientemente decidió que era demasiado peligroso usarlo sin ser root, ya que escalar privilegios es algo muy sencillo e inherente al diseño de Docker.

Ciertamente, dar acceso a cualquier usuario para comunicarse con /var/run/docker.sock es peligroso, pero si lo utilizas para desarrollo, tener que usar sudo a cada rato, con la consiguiente contraseña, es una pesadez.

Si eres consciente de los peligros que conlleva y aún así quieres poder usar Docker sin sudo, aquí están las instrucciones (al menos en Fedora):

  1. Crea el grupo docker si no existe ya:
    # groupadd --system docker
  2. Edita /etc/sysconfig/docker y añade -G docker a OPTIONS
  3. Añade tu usuario al grupo docker:
    # usermod -aG docker tu_usuario
  4. Reinicia docker:
    # systemctl restart docker
  5. Cierra y abre tu sesión

Quizá prefieras usar el grupo wheel (los que tienen acceso a sudo) y te ahorras los pasos de crear el grupo.

2 comentarios en “Cómo hacer que Docker corra como el grupo docker

  1. Bueno, ahora que lo compruebo explícitamente, si bien tus instrucciones son perfectas para poder lanzar contenedores desde un usuario != root, no parece que realmente se estén ejecutando con el grupo docker.

    Este ejemplo lista dos procesos que corren a partir de tu configuración de contenedores para Odoo:

    $ ps xao pid,euser,user,egroup,group,comm |egrep “(27911|27912)”
    27911 root root root root su
    27912 polkitd polkitd psaadm psaadm odoo.py

    Tengo activado SELinux pero no sé si hay alguna práctica más que sirva para añadir más confinamientos.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s