Q&A
わかりにくい文章を書いてしまって申し訳ありません。
ホスト側でコマンドを叩くのを禁止するのではなく、
叩いてもアクセスを拒否するというような動作をイメージしていました。
つまり、コンテナ側の設定でアクセスを拒否することができるのか
ということについて気になっています。
###実現したいこと
Docker exec や Docker attatch によるコンテナ内への接続を制限したい。
###発生している課題
外部からのログインを禁止したコンテナの作成可否を調査しているが
すでに試した人やナレッジを見つけられていないため(そもそもやるべきではないことなのかもしれないが…。)
知見をお持ちの方に可否について意見・アドバイスをいただきたい。
そもそもこれはアンチパターンなのでしょうか?
回答2件
0
ベストアンサー
通常の使い方であれば不可能と思われます。
コンテナ内の接続がattachもしくはexecによる、プロセス空間の共有という意味であれば、Dockerのドキュメント内では、そのような事が行える記述はありません。また、イメージ上なりDockerfileでも、そのような定義はできません。
ただし、目指していることがコンテナ内(のプロセス空間内)でコマンドを実行したくない、という意味であれば、シェルとして実行可能なバイナリを削除するなどして、当面は対処可能かもしれません。
当面はと書いたのは、Dockerイメージとして配布されている状態であれば、誰かがそのイメージを元に、新しいイメージの作成(commit)が可能なためです。何らかの仕組みにより、一時的にコマンドを実行させない環境を作れたとしても、その環境は上書き可能なためです。
一方、最終的に何をしたいかによりますが、コンテナ間はお互いが見えませんので、一部ユーザに特定のコンテナに対するプロセス空間の共有(例えばsshdを通すなど)が可能であれば、対象のコンテナに対するログインを防げるというような工夫の余地は考えられます。
投稿2017/08/25 15:25
総合スコア1584
0
私も Docker を勉強中なのですが、所詮 root 権限でリソースを分離するための技術なので、そのホストにログインできてかつ root 権限を持っている人にも exec や attach を禁止することがもしできるなら、stop/restart/rm もできないということになり、自己矛盾が発生するような気がしませんか?
投稿2017/08/25 00:12
編集2017/08/25 00:13
総合スコア1613
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/08/29 02:54