L'exécution de Docker un utilisateur non root

Je suis en train de lancer le panneau comme un utilisateur non root. Lorsque j'essaie, j'obtiens l'erreur suivante:

$ docker ps
FATA[0000] Get http:///var/run/docker.sock/v1.18/containers/json: dial unix /var/run/docker.sock: permission denied. Are you trying to connect to a TLS-enabled daemon without TLS?

Je peux courir docker en tant que root:

$ sudo docker ps
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
[...]

Je l'ai mis de l'utilisateur dans un groupe Unix docker:

$ groups
domain users docker suappprod stashadmin config_mgmt remote server access sudevmail sudevsvn

Cependant, il semble que cet utilisateur ne peut pas exécuter la plupart du panneau de commandes sans sudoing en tant que root.

Je suis sur une version plus ancienne de docker:

$ docker --version
Docker version 1.6.1, build a8a31ef/1.6.1

Je sais que la dernière est 1.10, et il est possible pour notre société de mettre à jour tous les docker installe à 1.9.2, mais qui va prendre beaucoup d'efforts et de temps.

Est-il autre chose j'ai besoin de regarder? L'utilisateur a été enregistré dans et hors de multiples reprises. Je n'ai pas redémarré le système.

InformationsquelleAutor David W. | 2016-03-07
  1. 5

    Vérifier ce que cette commande donne
    --> ls -l /var/run/docker.sock
    Vous pouvez changer les permissions de ce fichier à l'aide de la commande chmod (Ex: sudo chmod 777 /var/run/docker.sock) selon les autorisations que vous souhaitez donner.

    • mais lorsque vous redémarrez l'ancien autorisations de retour.
    • 660 sera suffisant pour n'importe quel but. Si tous ont un accès complet à la prise, vous pourriez aussi bien ajouter tout le monde à le docker groupe.
    InformationsquelleAutor Achsah
  2. 4

    Ajout d'utilisateurs à l'Docker groupe (depuis le Panneau groupe a le contrôle total de la prise)

    En tant que root, ajoutez l'utilisateur au docker groupe:

    • Cat /etc/group
    • gpasswd -a <username> docker
    • De sortie (en tant que root)
    • Déconnecter
    • Une session en tant qu'utilisateur, et de tenter de l'exécuter "Docker PS" pour valider.

    C'est de cette façon que j'ai été en mesure de mettre en place sur mon Ubuntu systèmes temps et l'heure à nouveau.

    • Le groupe "docker" existe déjà. J'ai ajouté plus tôt. Dans /etc/gshadow, j'ai docker:!::david et dans /etc/group, j'ai l'entrée docker:x:1001:david. Lorsque je me connecte en tant que david et faire un groups commande, je reçois ce que l'utilisateur est dans le groupe docker.
    • S'il vous plaît pas que n'importe qui ajouté à la docker groupe pourrait ainsi être considéré comme racine. github.com/moby/moby/issues/9976
    InformationsquelleAutor vXE
  3. 4

    Mon docker version est 17.06.1-ce, construire 874a737 sur Ubuntu 16.04.3 LTS

    Pour la distribution linux que l'utilisation de systemd il ya un service nommé docker.socket

    linux@linux-ubuntu:~$ sudo systemctl status docker.socket
● docker.socket - Docker Socket for the API
   Loaded: loaded (/lib/systemd/system/docker.socket; disabled; vendor preset: enab
       Active: active (running) since Sab 2017-08-26 01:15:26 WIB; 9min ago
   Listen: /var/run/docker.sock (Stream)

Agu 26 01:15:26 hasto-ubuntu systemd[1]: Starting Docker Socket for the API.
Agu 26 01:15:26 hasto-ubuntu systemd[1]: Listening on Docker Socket for the API.
linux@linux-ubuntu:~$

    L'emplacement du fichier est à /lib/systemd/system/docker.socket

    linux@linux-ubuntu:~$ cat /lib/systemd/system/docker.socket 
[Unit]
Description=Docker Socket for the API
PartOf=docker.service

[Socket]
ListenStream=/var/run/docker.sock
SocketMode=0660
SocketUser=root
SocketGroup=docker

[Install]
WantedBy=sockets.target
linux@linux-ubuntu:~$

    Partir de ce fichier, nous pouvons changer SocketMode=0660 en SocketMode=0666

    Redémarrer docker.socket

    systemctl restart docker.socket

    Notre menu fixe socket autorisation sera 066 signifie que chaque utilisateur peut lire et écrire dedans.

    Chaque utilisateur peut maintenant exécuter docker commande en tant qu'utilisateur non-root.

    linux@linux-ubuntu:~$ docker ps -a
CONTAINER ID        IMAGE                    COMMAND                  CREATED      STATUS                  PORTS  NAMES
03eb2ba2eacd        google/cadvisor:latest   "/usr/bin/cadvisor..."   5 weeks ago  Exited (0) 5 weeks ago         elk_cadvisor_1
52efa40edf3a        portainer/portainer      "/portainer"             7 weeks ago  Exited (2) 11 days ago         portainer
linux@linux-ubuntu:~$ 

linux@linux-ubuntu:~$ docker images
REPOSITORY          TAG                      IMAGE ID            CREATED           SIZE
portainer/portainer latest                   96196eaa6b3         8 weeks ago       10.4MB
google/cadvisor     latest                   f9ba08bafdea        5 months ago      57.3MB
linux@linux-ubuntu:~$

    Être conscient de non-accès à la racine de panneau de commande Pourquoi nous ne laissons pas les utilisateurs non-root exécuter Docker sur CentOS, Fedora, ou RHEL

    Référence :

    1. Docker Documentation : Contrôler et configurer le Panneau avec systemd
    2. Github docker systemd
    • 660 avec le SocketGroup ensemble de docker signifie que tous les utilisateurs dans le panneau groupe peut accéder (et l'ajout d'utilisateurs à l'docker groupe au moins des limites qui dispose d'un accès root sur le serveur...). Changer l'666 est une MAUVAISE idée, car il donne à tous les utilisateurs sur le système de docker (et effectivement root via un menu fixe) d'accès.
    InformationsquelleAutor hasto