在Docker環境中，用戶組（尤其是默認的docker組）是管理用戶與Docker守護進程交互權限的核心機制。以下從概念介紹和具體管理操作兩方面詳細說明：

一、Docker用戶組的核心概念

Docker守護進程（dockerd）默認通過Unix套接字（/var/run/docker.sock）與客戶端（docker命令）通信，而非TCP端口。該套接字的權限默認配置為：

• 所有者：root用戶
• 所屬組：docker組
• 權限：0660（僅root用戶和docker組成員可讀寫）

因此，docker用戶組的核心作用是：允許非root用戶直接執行docker命令（無需每次添加sudo），從而簡化Docker操作流程。

二、Docker用戶組的管理操作

1. 檢查docker組是否存在

Docker安裝時（如通過apt或yum）通常會自動創建docker組，可通過以下命令驗證：

# 查看系統中是否存在docker組
grep docker /etc/group
# 或
getent group docker

若輸出類似docker:x:999:，則表示docker組已存在（999為組ID，可能不同）。

2. 手動創建docker組（若不存在）

若未自動創建（如源碼安裝或特殊環境），可手動創建：

sudo groupadd docker

3. 將用戶添加到docker組

將指定用戶（如當前登錄用戶$USER）加入docker組，使其獲得Docker操作權限：

# 添加當前用戶到docker組（-aG表示追加到組，避免覆蓋原有組）
sudo usermod -aG docker $USER# 若需添加其他用戶（如user1），替換$USER為用戶名即可
sudo usermod -aG docker user1

4. 使權限變更生效

用戶加入docker組后，需注銷并重新登錄（或重啟系統），才能讓權限生效。
若需臨時生效（無需注銷），可使用newgrp命令切換當前會話的組環境：

newgrp docker

5. 驗證用戶是否已加入docker組

檢查目標用戶是否成功加入docker組：

# 查看當前用戶所屬的所有組
groups# 或指定用戶（如user1）
groups user1

若輸出中包含docker，則表示添加成功。

6. 從docker組中移除用戶

若需回收用戶的Docker權限，可將其從docker組中移除：

# 移除用戶user1從docker組（-d表示刪除）
sudo gpasswd -d user1 docker

7. 管理docker組的核心權限文件（/var/run/docker.sock）

docker組的權限本質依賴于/var/run/docker.sock的訪問控制，默認權限為root:docker且0660（僅所有者和組內用戶可讀寫）。
不建議修改此文件的權限（如改為0777），否則會導致任何用戶都能操作Docker，存在嚴重安全風險。

三、注意事項

1. 安全風險：
   docker組的用戶擁有與root等效的權限（例如：可通過docker run --privileged掛載主機目錄、修改系統文件等）。因此，僅允許可信用戶加入docker組，避免將不可信用戶添加到該組。

2. 權限生效問題：
   若添加用戶后仍需sudo才能執行docker命令，需檢查：

   • 是否已重新登錄（或執行newgrp docker）；
   • /var/run/docker.sock的權限是否為root:docker且0660；
   • 用戶是否確實在docker組中（通過groups命令驗證）。

3. Docker守護進程重啟：
   若修改了/var/run/docker.sock的權限或docker組配置，需重啟Docker守護進程使變更生效：

   sudo systemctl restart docker
   

通過上述操作，可安全、高效地管理docker用戶組，控制用戶對Docker的訪問權限。