Est-il possible d'utiliser docker sans sudo?
Selon les réponses de cette question sur docker , l'exécuter en tant que non root est aussi simple que d'ajouter le nom d'utilisateur non root au groupe docker et de se déconnecter et de se reconnecter Et bien sûr, quand je l'ai utilisé comme Sudo pour le hello-world image qui s'est bien passée. Mais pour une autre image de test appelée whalefortune je reçois toujours le access denied erreur - voir ci-dessous.
N'est-il généralement plus possible d'exécuter Docker en tant que non root? J'utilise Ubuntu 19.04, qui est une version plus récente que les exemples, et il y avait des mentions d'une possible violation de la sécurité en utilisant des dockers non root.
Mon idée était d'exécuter nvidia-docker en tant qu'utilisateur normal, serait-ce possible (ou même une bonne idée)?
$ Sudo docker run --rm hello-world
Unable to find image 'hello-world:latest' locally
latest: Pulling from library/hello-world
1b930d010525: Pull complete
Digest: sha256:6540fc08ee6e6b7b63468dc3317e3303aae178cb8a45ed3123180328bcc1d20f
Status: Downloaded newer image for hello-world:latest
Hello from Docker!
This message shows that your installation appears to be working correctly.
To generate this message, Docker took the following steps:
1. The Docker client contacted the Docker daemon.
2. The Docker daemon pulled the "hello-world" image from the Docker Hub. (AMD64)
3. The Docker daemon created a new container from that image which runs the executable that produces the output you are currently reading.
4. The Docker daemon streamed that output to the Docker client, which sent it
to your terminal.
To try something more ambitious, you can run an Ubuntu container with: $ docker run -it ubuntu bash
Share images, automate workflows, and more with a free Docker ID:
https://hub.docker.com/
For more examples and ideas, visit:
https://docs.docker.com/get-started/
$ docker run --rm dbkdoc/whalefortune
docker: Got permission denied while trying to connect to the
Docker daemon socket at unix:///var/run/docker.sock:
Post http://%2Fvar%2Frun%2Fdocker.sock/v1.40/containers/create:
dial unix /var/run/docker.sock: connect: permission denied.
See 'docker run --help'.
Si vous ne souhaitez pas faire précéder la commande docker de Sudo, créez un groupe Unix appelé docker et ajoutez-y des utilisateurs. Lorsque le démon Docker démarre, il crée un socket Unix accessible par les membres du groupe Docker.
Avertissement:
Le groupe docker accorde des privilèges équivalents à l'utilisateur root. Pour plus de détails sur la manière dont cela affecte la sécurité de votre système, consultez Docker Daemon Attack Surface .
Si vous souhaitez toujours exécuter Docker sans Sudo:
Ajoutez le groupe de dockers s'il n'existe pas déjà:
Sudo groupadd dockerAjoutez l'utilisateur connecté "$ USER" au groupe de dockers. Modifiez le nom d'utilisateur pour qu'il corresponde à votre utilisateur préféré si vous ne souhaitez pas utiliser votre utilisateur actuel:
Sudo usermod -aG docker $USERFaites un
newgrp dockerOu déconnectez-vous pour activer les modifications des groupes (si vous testez sur une machine virtuelle, il peut être nécessaire de redémarrer la machine virtuelle pour que les modifications prennent effet).Vous pouvez utiliser
docker run hello-worldpour vérifier si vous pouvez exécuter docker sans Sudo.
PS:
Si vous avez initialement exécuté les commandes Docker CLI à l'aide de Sudo avant d'ajouter votre utilisateur au groupe docker, vous pouvez voir l'erreur suivante, qui indique que votre ~/.docker/ Le répertoire a été créé avec des autorisations incorrectes en raison des commandes Sudo.
WARNING: Error loading config file: /home/user/.docker/config.json -
stat /home/user/.docker/config.json: permission denied
Pour résoudre ce problème, supprimez le répertoire ~/.docker/ (Il est recréé automatiquement, mais tous les paramètres personnalisés sont perdus) ou modifiez sa propriété et ses autorisations à l'aide des commandes suivantes:
Sudo chown "$USER":"$USER" /home/"$USER"/.docker -R
Sudo chmod g+rwx "$HOME/.docker" -R
Source: documentation Docker