别急，我来一步步帮你理清这个问题～

首先明确说：Docker并不是强制要求必须用sudo执行命令，默认需要sudo是因为Docker的后台服务（daemon）是以root权限运行的，普通用户默认没有和这个daemon交互的权限，所以才会出现权限拒绝的错误。

怎么配置不用sudo执行Docker命令？ #

最常用的方法是把你的用户加入docker用户组，步骤很简单：

• 首先确认docker组存在（一般Docker安装后会自动创建，保险起见可以执行）：

  sudo groupadd docker
  

• 将当前用户添加到docker组：

  sudo usermod -aG docker $USER
  

• 为了让组权限变更立即生效，你可以要么注销再重新登录，要么执行这条命令：

  newgrp docker
  

• 最后测试一下：执行docker run hello-world，如果能正常运行输出欢迎信息，就说明配置成功了，以后不用加sudo也能执行Docker命令。

关于你担心的安全问题：加入docker组能解决权限风险吗？ #

这里得坦诚说：加入docker组本质上和给你的用户root权限几乎是等价的。原因很简单：
Docker允许你将主机上的目录挂载到容器内部，而且容器默认是以root身份运行的。如果不小心运行了恶意镜像，它可以通过挂载的目录修改你的系统文件，甚至直接获取主机的root权限——这和你用sudo运行Docker的风险是一样的。

所以加入docker组只是让你不用每次输sudo，但并没有解决你担心的“Docker被赋予root权限后可能被恶意利用”的问题。

那怎么降低安全风险？ #

给你几个实用的建议：

• 只使用官方或可信来源的镜像：尽量从Docker Hub的官方镜像仓库拉取，避免使用不知名个人上传的镜像，减少恶意脚本的风险。
• 运行容器时指定非root用户：启动容器时加上--user参数，让容器内的进程以普通用户身份运行。比如：

  docker run --user 1000:1000 redis
  

  这里的1000:1000是你主机普通用户的UID和GID，这样就算容器里有恶意代码，它的权限也会被限制。
• 谨慎挂载主机目录：不要挂载/、/etc这类敏感系统目录，只挂载你真正需要的普通用户目录（比如~/docker-data），避免容器随意修改系统文件。
• 定期更新Docker和镜像：及时修复已知的安全漏洞，减少被攻击的可能。
• 考虑无root容器工具：如果对安全要求极高，可以试试Podman这类支持无root运行容器的工具，它不需要后台daemon，容器运行在用户权限下，安全性会好很多。

内容的提问来源于stack exchange，提问作者juztcode