Для демона Docker, запущенного с sub-id, может ли член группы Docker каким-то образом обойти ограничение?

У меня есть виртуальная машина с Docker и несколько утилит сборки, где несколько пользователей могут создавать свои контейнеры. Я не хочу, чтобы члены группы Docker наращивали свои привилегии для получения доступа к sudo и доступа к другим частям виртуальной машины. Нет ограничений на использование контейнеров, работающих от имени пользователя root.

В настоящее время пользователи могут монтировать чувствительные части файловой системы и наносить вред или получать доступ к закрытым частям ВМ, например, получить доступ sudo на хосте. Я добавил подчиненный uid для запуска демона докера. Достаточно ли этого изменения, чтобы ограничить возможности членов группы докеров в преодолении ограничений?