近期 Hacker News 上的一篇讨论，探讨了通过利用 Docker 在没有 `sudo` 权限的系统上获取 root 级别访问权限的“变通方法”。 评论者指出，这并非新发现；只要加入 `docker` 组，就等同于拥有宿主机的 root 权限，这是该机制众所周知的后果。该讨论帖强调，为了免去反复输入密码的便利而使用这种配置，实际上是在安全性上做出了妥协。 为了降低这些风险，贡献者们建议采用更安全的配置，例如： * **无根模式 Docker (Rootless Docker)：** 在没有宿主机特权的情况下运行容器。 * **用户命名空间 (User Namespaces)：** 将容器用户映射为宿主机的非特权用户。 * **Podman：** 改用更注重安全性的容器运行时替代方案。 * **规范的代理管理：** 避免以标准用户账户运行代理程序。 最终，各方达成共识：尽管许多开发人员优先考虑便利性，但这种设置会使系统面临已知的攻击路径。专家强调，必须采用更好的默认安全实践，并呼吁具备安全意识的软件工程师持续关注，以解决这些系统性的配置疏漏。