Security

帶有“通用”驅動程序的 docker-machine:安全問題

  • October 2, 2018

我想使用 docker-machine 從我的本地電腦在 Debian 9 伺服器上部署容器。

我按照此頁面的說明進行操作,其中清楚地表明:

如果您在主機上使用 « sudo »,請確保配置無密碼 sudo:

# visudo
%sudo   ALL=(ALL) NOPASSWD:ALL

此外,docker-machine 驅動程序的docker 文件generic也提到了相同的內容:

須藤權限

用於 SSH 進入主機的使用者可以用--generic-ssh-userflag 指定。此使用者需要無密碼 sudo 權限。如果不是這種情況,您需要編輯sudoers文件並將使用者配置為 sudoerNOPASSWD

我不是專家,但我覺得這裡出了點問題……不允許生產伺服器上的使用者在沒有密碼的情況下執行任何命令會造成安全漏洞嗎?還是我錯過了什麼?

3個月後,我想我自己的問題有了答案。似乎只有在生產伺服器首次在 docker-machine 中註冊時才需要無密碼配置。

一旦docker-machine create --driver generic [...]成功輸入命令,docker-machine就可以使用埠 2376 上的套接字連接到遠端主機,並且sudo不再在生產伺服器上使用。

換句話說,無密碼的 sudo 配置應該會在伺服器上出現幾秒鐘,並且稍後可能會被禁用。

引用自:https://serverfault.com/questions/917249