[도커] Authorization-Plugin 설치 및 사용하기

이거 플러그인 깔면 사용자별로 명령어 제한 같은거 할 수 있음

여기보고 따라함→ https://www.openpolicyagent.org/docs/v0.11.0/docker-authorization/

 

정책 폴더(/etc/docker/policies)를 만들고

정책 파일(authz.rego)에 모두 허용 allow=true 설정하였음

docker plugin install 명령으로 플러그인을 다운로드 하였음

opa-docker-authz 라는 플러그인인데 얘도 Authorization-Plugin 인듯

(잉포섹 가이드에는 예시로 AuthZPlugin이 있는데 얘는 자료가 잘 안보이네)

다 설치되면 docker plugin ls 명령으로 확인할 수 있음

플러그인 ID값은 ea21cb79b31c 이다

이제 도커 데몬 실행하면 되는데 2)번으로 가겠다

1) dockerd --authorization-plugin=ea21cb79b31c 로 실행하는 방법

2) /etc/docker/daemon.json 에다가 Authorization-Plugin 설정하고 실행하는 방법

 

daemon.json 에 아래와 같이 작성하고 service docker start 로 데몬 실행함

아까 정책 파일(authz.rego) 에 모두 허용 allow=true 했으니깐 당연히 명령어 수행된다

정책 파일(authz.rego) 에서 allow=false 로 바꿔봄

명령어 수행 안된다

 

여기까진 간단한 명령어 사용/제한 테스트였고

참고 링크에 따르면 아래와 같이 seccomp 관련 설정을 끄도록 설정한다거나

사용자별로 메소드를 제한하는 등 필요에 따라 정책을 작성해서 사용할 수 있음