Pourquoi Docker a-t-il besoin des privilèges root?

J'apprends Docker et je l'aime bien.

Cependant, je ne comprends pas pourquoi Docker a besoin de privilèges root pour créer des conteneurs, lire des journaux, etc.

J'ai lu des articles comme celui-ci

https://docs.docker.com/articles/security/

mais tout ce que je vois, c'est "docker a besoin des privilèges root, car il peut avoir accès aux dossiers root". Eh bien, cela ne me dérangerait pas d'exécuter des dockers en tant que non root et de leur donner accès uniquement aux dossiers appartenant à l'utilisateur non root dans le système extérieur.

Pourquoi c'est un problème?

Certaines fonctionnalités de docker «cool» comme la liaison de port, le montage de systèmes de fichiers, etc., nécessitent strictement que le docker.io démon soit exécuté avec des privilèges de super-utilisateur.

Cependant, vous pouvez utiliser l' docker outil de ligne de commande sans privilèges root si le docker.iodémon écoute un port réseau ou si son socket Unix est accessible à l'utilisateur pour la lecture et l'écriture.

C'est une GRANDE violation de sécurité et ne devrait normalement pas être utilisé.

Détails supplémentaires sur la sécurité Docker: https://docs.docker.com/articles/security/

Selon ces liens

• https://github.com/docker/docker/issues/1034
• https://github.com/docker/docker/issues/2919
• http://s3hh.wordpress.com/2013/07/19/creating-and-using-containers-without-privilege/ (seulement légèrement lié)

les dockers ne pouvaient pas avoir de réseau, s'ils n'avaient pas les privilèges root, si je comprends bien.

Je ne sais pas si c'est tout.