OFF
Ami azért tegyük hozzá, hogy erősen dokumentálva is van.
Nekem ezt egyébként a bekapcsolt selinux policy simán megfogta, bár valószínűleg a -v /:/realroot:Z megoldaná, csak nem bízom benne, hogy nem labelezi fel valami faszsággal az egész /-emet, ha kipróbálom :)
Illetve érdemes megszemlélni a podmant, ami azt állítja magáról, hogy alias docker=podman és jó lesz, daemonless megy, és egyébként megy rootless is, bár elnézve a listát a megy egy kicsit erős kifejezés még. Megyeget, mondjuk.
Illetve a minden jó lesz is egy kicsit erős, pl a volumeokat -- egyébként teljesen helyesen -- noexec mountolja defaultból, ami miatt valószínűleg a docker hubos random scriptnyelves konténerek, amik nagyrészt úgy kezdik, hogy mountold a kódodat és indítsd egy kicsit kevésbé lesznek boldogok.
ON